顯然 @cursor_ai 對於 MCP 的官方立場是："MCP 伺服器，特別是那些連接到不受信任的數據來源的伺服器，對用戶構成嚴重風險。我們始終建議用戶在安裝之前檢查每個 MCP 伺服器，並限制使用那些訪問受信任內容的伺服器。"

這是對經典致命三重攻擊的回應 - 在這裡，攻擊者提交了一個 Jira 問題（通過支持票）導致 Cursor 從環境變數中竊取開發者的秘密並將其提交到攻擊者的伺服器。

我所知道的唯一解決致命三重奏的方法就是切斷三條腿中的一條——當 Cursor 說「限制於那些訪問受信內容的」時，他們建議避免接觸可能包含惡意指令的不受信數據，而這通常是非常難做到的。

對於這個主題的更正：我說開發者的秘密是從環境變數中被竊取的，但實際上看起來他們竊取的是硬編碼在源代碼中的JWT令牌。我的更多筆記在這裡：