Une attaque de prompt injection par MCP assez sophistiquée.

• une application de réponse aux tickets de support à un accès limité au MCP de Supabase,
• l'attaquant envoi un message contenant une prompt injection
• un développeur lit plus tard dans la table des tickets via son serveur MCP Cursor et exécute l'instruction malicieuse
• l'attaquant peut voir les données privées extraites dans sa conversation

Il n'y a pas d'erreur de configuration dans les droits, cependant les LLMs permettent de faire des "sauts" entre les utilisateurs/permissions en laissant des instructions malicieuses au bon endroit.