По всей видимости, официальная позиция @cursor_ai по поводу MCP заключается в том, что "Серверы MCP, особенно те, которые подключаются к ненадежным источникам данных, представляют серьезный риск для пользователей. Мы всегда рекомендуем пользователям проверять каждый сервер MCP перед установкой и ограничиваться теми, которые получают доступ к надежному контенту."

Это было в ответ на классическую смертельную тройную атаку - здесь злоумышленник подал заявку в Jira (через службу поддержки), что привело к тому, что Cursor украл секреты разработчиков из переменных окружения и отправил их на сервер злоумышленника.

Единственное решение, о котором я знаю в отношении смертельной триады, - это отрезать одну из трех ног. Когда Cursor говорит "ограничить доступ к доверенному контенту", они рекомендуют избегать воздействия недоверенных данных, которые могут содержать вредоносные инструкции, что часто бывает очень сложно сделать.

Исправление к этой теме: я сказал, что секреты разработчика были украдены из переменных окружения, но на самом деле, похоже, что они украли JWT токен, который был жестко закодирован в исходном коде. Больше моих заметок здесь: