A quanto pare, la posizione ufficiale di @cursor_ai su MCP è: "I server MCP, specialmente quelli che si connettono a fonti di dati non affidabili, presentano un serio rischio per gli utenti. Raccomandiamo sempre agli utenti di esaminare ogni server MCP prima dell'installazione e di limitarsi a quelli che accedono a contenuti affidabili."

Questo è stato in risposta a un classico attacco trifecta letale - qui un attaccante ha presentato un problema Jira (tramite un ticket di supporto) che ha causato a Cursor di rubare segreti degli sviluppatori dalle variabili d'ambiente e inviarli a un server dell'attaccante.

L'unica soluzione che conosco per la letale trifecta è tagliare una delle tre gambe - quando Cursor dice "limitare a coloro che accedono a contenuti fidati" stanno raccomandando di evitare l'esposizione a dati non fidati che potrebbero contenere istruzioni dannose, il che è spesso molto difficile da fare.

Correzione a questo thread: ho detto che i segreti dello sviluppatore erano stati rubati dalle variabili d'ambiente, ma in realtà sembra che abbiano rubato un token JWT che era hard-coded nel codice sorgente. Maggiori note qui: