Aparentemente, a posição oficial da @cursor_ai sobre o MCP é "Os servidores MCP, especialmente aqueles que se conectam a fontes de dados não confiáveis, apresentam um sério risco para os usuários. Sempre recomendamos que os usuários revisem cada servidor MCP antes da instalação e limitem aqueles que acessam conteúdo confiável."

Isso foi em resposta a um ataque clássico de trifeta letal - aqui, um invasor registrou um problema do Jira (por meio de um tíquete de suporte) que fez com que o Cursor roubasse segredos do desenvolvedor das variáveis de ambiente e os enviasse ao servidor de um invasor

A única solução que conheço para a tríade letal é cortar uma das três pernas - quando o Cursor diz "limite para aqueles que acessam conteúdo confiável", eles recomendam evitar a exposição a dados não confiáveis que possam conter instruções maliciosas, o que geralmente é muito difícil de fazer

Correção para este tópico: Eu disse que os segredos do desenvolvedor foram roubados das variáveis de ambiente, mas na verdade parece como se eles roubassem um token JWT codificado no código-fonte. Mais das minhas notas aqui: