Aparentemente, la posición oficial de @cursor_ai sobre MCP es: "Los servidores MCP, especialmente aquellos que se conectan a fuentes de datos no confiables, presentan un riesgo serio para los usuarios. Siempre recomendamos a los usuarios que revisen cada servidor MCP antes de la instalación y se limiten a aquellos que acceden a contenido confiable."

Esto fue en respuesta a un clásico ataque trifecta letal: aquí un atacante presentó un problema en Jira (a través de un ticket de soporte) que hizo que Cursor robara secretos de desarrollador de las variables de entorno y los enviara al servidor de un atacante.

La única solución que conozco para la letal trifecta es cortar una de las tres patas: cuando Cursor dice "limitar a aquellos que acceden a contenido confiable", están recomendando evitar la exposición a datos no confiables que podrían contener instrucciones maliciosas, lo cual a menudo es muy difícil de hacer.

Corrección a este hilo: dije que los secretos del desarrollador fueron robados de las variables de entorno, pero en realidad parece que robaron un token JWT que estaba codificado en el código fuente. Más de mis notas aquí: