Rõ ràng là quan điểm chính thức của @cursor_ai về MCP là "Các máy chủ MCP, đặc biệt là những máy chủ kết nối với các nguồn dữ liệu không đáng tin cậy, mang lại rủi ro nghiêm trọng cho người dùng. Chúng tôi luôn khuyên người dùng xem xét từng máy chủ MCP trước khi cài đặt và giới hạn chỉ những máy chủ truy cập nội dung đáng tin cậy."

Điều này là phản ứng trước một cuộc tấn công ba chiều chết người cổ điển - ở đây, một kẻ tấn công đã gửi một vấn đề Jira (thông qua một vé hỗ trợ) khiến Cursor đánh cắp bí mật của nhà phát triển từ các biến môi trường và gửi chúng đến máy chủ của kẻ tấn công.

Giải pháp duy nhất mà tôi biết để đối phó với bộ ba chết người này là cắt bỏ một trong ba chân - khi Cursor nói "giới hạn ở những người truy cập nội dung đáng tin cậy" họ đang khuyến nghị tránh tiếp xúc với dữ liệu không đáng tin cậy có thể chứa các hướng dẫn độc hại, điều này thường rất khó thực hiện.

Sửa đổi cho chủ đề này: Tôi đã nói rằng bí mật của nhà phát triển đã bị đánh cắp từ các biến môi trường nhưng thực tế có vẻ như họ đã đánh cắp một mã thông báo JWT được mã hóa cứng trong mã nguồn. Nhiều ghi chú của tôi ở đây: