Cursor 搭 MCP，一句话就能让数据库裸奔！？不是代码bug，是MCP 天生架构设计缺陷

主要观点总结

本文主要介绍了安全研究团队对Cursor和MCP（通用代理协议）配合攻击可能导致的数据库泄露问题进行了详细阐述。文中介绍了两个典型的攻击案例，并分析了MCP协议的安全设计问题，指出这不是简单的漏洞问题，而是架构问题。同时讨论了OAuth和MCP两种协议在融合过程中面临的挑战，包括认证与授权机制的问题以及角色权限信息的传达问题。

关键观点总结

关键观点1: Cursor和MCP配合攻击可能导致数据库泄露

通过环境搭建、攻击入口、触发条件、Agent劫持、数据收割等步骤，攻击者可以获取到敏感信息，甚至直接拿到后台钥匙，系统控制权瞬间暴露。

关键观点2: MCP协议的安全设计存在问题

该问题不是简单的代码安全问题，而是从一开始就没有考虑恶意调用这种基本威胁模型。其问题在于OAuth和MCP两个为不同场景设计的协议被强行融合在一起，导致认证与授权机制面临挑战。

关键观点3: OAuth和MCP的融合面临挑战

两者目标完全不同，且没有统一的角色权限信息传达机制。在scope的使用上也没有统一的标准，导致授权机制面临新问题。

免责声明