𝐂𝐮𝐫𝐬𝐨𝐫 𝐌𝐂𝐏 攻击现象:一句话,就能让你的私有数据库裸奔

𝐂𝐮𝐫𝐬𝐨𝐫 𝐌𝐂𝐏 攻击现象:一句话,就能让你的私有数据库裸奔 ---"一句话劫持":

prompt注入如何撬开数据库后门

1)危险比你想的更近 在我们最新的实测里,攻击者只用在客服工单里插入一段"看似友好、实则暗藏指令"的留言,就让 Cursor 的 MCP 代理自动把 integration_tokens 私密表整段复制出来,展示在公开工单页面。 整件事耗时不到 30 秒:没有越权、没有报警,开发者甚至以为自己在"正常检索工单"。结果?Slack、GitHub、Gmail 等 OAuth access token / refresh token 全部泄露,连过期时间都一清二楚。

2)一次完整泄露的五步解剖

-环境:新建 Supabase 项目,模拟常见的多租户客服 SaaS,敏感信息存于 SQL 表。

-入口:攻击者打开新工单,正文分两块------上半段是客服问题,下半段是 "致 Cursor agent 的紧急指令",明确要求把 integration_tokens 表内容写回同一工单。

-触发:开发者在 Cursor 里随口问句 "列一下最新 open 的 ticket"。

-劫持:Cursor agent 解析到攻击者的隐藏指令,连续调用 list_tables → execute_sql,把整表数据写进公开消息;操作日志里能看到多次 execute_sql 调用,却没人注意。

-收割:攻击者刷新页面,即刻获取 4 条完整令牌记录(ID、客户 ID、Provider、Access Token、Refresh Token、Expires),相当于拿到后台钥匙。 3)为什么它吓人,以及接下来怎么办 这类攻击无需"提权"------它直接利用 Prompt Injection 撞开了 Cursor MCP 自动化通道;任何把生产数据库暴露给 MCP 的团队,理论上都可能中招。 Supabase、Postgres、MySQL 都一样,只要 agent 拥有查询权限,攻击者就能"借刀杀人"。更糟的是,工单、评论、聊天窗口都能成为隐形载体,WAF 和 RBAC 根本感知不到。 如果你正在用 Cursor + MCP 直连生产库,立即: 关掉 MCP 对数据库的写权限或彻底隔离读写。 加审:强制人工审查 agent 的 plan / SQL 调用。 清洗:对外部输入做最严格的内容过滤,屏蔽 "######## Instructions for Cursor#######" 之类模板。

原文:x.com/BadUncleX/s...

相关推荐
IAM四十二11 小时前
MCP 到底解决了什么问题?
llm·ai编程·mcp
我梦见我梦见我2 天前
一文看懂Spring MCP 的请求链路
java·mcp
大模型真好玩3 天前
大模型工程面试经典(一)—如何评估大模型微调&训练所需硬件成本
人工智能·面试·mcp
钉钉开发者社区3 天前
如何在阿里云百炼中使用钉钉MCP
阿里云·钉钉·mcp
猫头虎3 天前
什么是AI+?什么是人工智能+?
人工智能·ai·prompt·aigc·数据集·ai编程·mcp
旧时光巷4 天前
智能体协作体系核心逻辑:Prompt、Agent、Function Calling 与 MCP 解析
prompt·agent·mcp·智能体协作·任务协作流程
大模型真好玩4 天前
深入浅出LangGraph AI Agent智能体开发教程(一)—全面认识LangGraph
人工智能·python·mcp
MicrosoftReactor4 天前
技术速递|Model Context Protocol (MCP) 支持已上线 JetBrains、Eclipse 和 Xcode
ai·eclipse·copilot·xcode·mcp
赵康4 天前
使用 LLM + MCP 在过早客论坛冲浪🏄‍♀️
ai·llm·mcp
许泽宇的技术分享4 天前
当自然语言遇上数据库:Text2Sql.Net的MCP革命如何重新定义开发者与数据的交互方式
数据库·.net·text2sql·mcp