Aparentemente, a posição oficial da @cursor_ai sobre o MCP é "Os servidores MCP, especialmente aqueles que se conectam a fontes de dados não confiáveis, apresentam um sério risco para os usuários. Recomendamos sempre que os usuários revisem cada servidor MCP antes da instalação e limitem-se àqueles que acessam conteúdo confiável."

Isto foi em resposta a um clássico ataque trifecta letal - aqui um atacante apresentou um problema no Jira (através de um ticket de suporte) que fez com que o Cursor roubasse segredos de desenvolvedor das variáveis de ambiente e os enviasse para o servidor de um atacante.

A única solução que conheço para a tríade letal é cortar uma das três pernas - quando o Cursor diz "limitar àqueles que acedem a conteúdo confiável", estão a recomendar evitar a exposição a dados não confiáveis que possam conter instruções maliciosas, o que muitas vezes é muito difícil de fazer.

Correção a este tópico: Eu disse que os segredos do desenvolvedor foram roubados das variáveis de ambiente, mas na verdade parece que roubaram um token JWT que estava codificado no código-fonte. Mais das minhas notas aqui: