CursorJack, una técnica que aprovecha posibles vulnerabilidades en los deeplinks del sistema MCP de Cursor, podría permitir tanto la ejecución de código como la instalación de un servidor MCP remoto malicioso, según un análisis realizado por la firma de ciberseguridad Proofpoint.
Los servidores MCP funcionan como un componente estandarizado que conecta a la IA con herramientas, APIs, bases de datos o archivos locales, facilitando el acceso seguro a información y acciones sin necesidad de integrar cada servicio de forma independiente. Los deeplinks, por otro lado, son enlaces con formato personalizado que llevan al usuario a funciones concretas dentro de una aplicación. En el caso del IDE de Cursor, estos deeplinks sirven para instalar de manera rápida servidores MCP, lo que abre una vía adicional de ataque dentro de los entornos de desarrollo basados en IA.
El auge de los asistentes de programación impulsados por IA ha hecho habitual la aceptación de solicitudes automáticas, y Cursor ejecuta comandos con privilegios de usuario cuando se aprueba una instalación. Además, los IDE que permiten servidores MCP suelen estar presentes en equipos de desarrolladores con accesos altamente sensibles: credenciales en la nube, tokens de API, repositorios de código o sistemas de producción.
“En un contexto en el que se fomenta el uso de la IA, muchos usuarios están creando y ejecutando código por primera vez sin conocer realmente sus implicaciones de seguridad, lo que convierte a los desarrolladores en un objetivo atractivo para los atacantes”, señalan los analistas de Proofpoint.
El hecho de que los deeplinks puedan adoptar cualquier nombre facilita que ciberdelincuentes suplanten servidores MCP legítimos —como Azure DevOps— mediante técnicas de ingeniería social, ya que no existe un mecanismo que valide que el enlace procede realmente del proveedor declarado. Esto obliga a los usuarios a revisar cuidadosamente los parámetros antes de aprobar cualquier instalación. Dependiendo de la configuración, soluciones EDR, listas de permisos y políticas del sistema operativo pueden mitigar o bloquear estos intentos.
Proofpoint aclara que los comportamientos maliciosos observados se han producido en entornos de prueba, por lo que no se trata de una vulnerabilidad explotable sin interacción del usuario. No obstante, en sus experimentos fue suficiente un único clic y la confirmación del usuario para ejecutar órdenes arbitrarias, “lo que evidencia la urgencia de reforzar la seguridad en los entornos de IA agéntica”, explican.
Para la compañía, la arquitectura MCP necesita incorporar medidas de seguridad desde su base, sin depender exclusivamente de herramientas externas ni del criterio del usuario como defensa principal. Los deeplinks procedentes de fuentes no verificadas deberían tratarse con la misma precaución que un ejecutable desconocido. Además, los procesos de aprobación deberían incluir advertencias detalladas y mecanismos de verificación del origen del enlace para que el usuario pueda distinguir entre deeplinks fiables y no confiables.
La creación de un sistema de confianza basado en firmas digitales y editores autenticados para los servidores MCP —similar al modelo de las extensiones de navegador o de las tiendas de aplicaciones— permitiría confirmar la legitimidad de cada servidor. Asimismo, un proceso sólido de firma de código garantizaría que los usuarios puedan comprobar la procedencia y la integridad de los servidores antes de instalarlos, avanzando hacia un entorno con integraciones MCP fiables, comparable a un marketplace seguro.
