Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
CSO Online · 5T SIDEN · sikkerhet

Sandbox-hull i Cursor gir kjøring av kode via prompt-injeksjon

SYNOPSIS_GENERERT

To sårbarheter i Cursor lot angripere bryte ut av kode-sandboxen og kjøre vilkårlig kode via prompt-injeksjon. Cato Networks kaller angrepskjeden DuneSlide.

Sikkerhetsforskere i Cato Networks fant to sårbarheter i Cursor (CVE-2026-50548 og CVE-2026-50549) som lot en angriper bryte ut av IDE-ens kommando-sandbox og oppnå fjernkjøring av kode (RCE). Angrepet krever ingen forkunnskap om brukeren og ingen spesiell handling: det utløses når et uskyldig prompt utilsiktet drar inn en forgiftet nyttelast fra en MCP-server eller et web-søkeresultat.

Sandboxen skal hindre den innebygde agenten i å skrive utenfor prosjektmappen. Den første feilen ligger i verktøyet run_terminal_cmd: en parameter kalt working_directory lar agenten overstyre standardstien, så injeksjonen kan styre skrivingen mot en angriperkontrollert sti utenfor prosjektet. Da kan angriperen overskrive selve cursorsandbox-programmet, gjemme kode i shell-konfigurasjonen som lastes ved hver kommando, eller legge et oppstartsskript i ~/Library/LaunchAgents på macOS. Den andre feilen er en symlink som Cursor følger fordi kanoniserings-logikken faller tilbake til den opprinnelige stien inne i prosjektet når den ikke klarer å slå opp lenken.

«Cato AI Labs er i ferd med å ansvarlig avdekke sårbarheter i alle populære kode-agenter, noe som viser at det trengs en mer systemisk tilnærming til beskyttelse» — Cato Networks

Poenget rekker lenger enn Cursor. Cato sier flere KI-drevne IDE-er har samme type logikkfeil i isolasjonslaget, og at prompt-injeksjon her fungerer som en angrepsvektor mot selve programvaren som kjører agenten, ikke bare mot modellen. Cursor, som nylig ble kjøpt av SpaceX for 60 milliarder dollar i aksjer, er blant de mest brukte kode-verktøyene i næringslivet. For deg som kjører autonome kode-agenter betyr funnet at sandboxen er en del av angrepsflaten, ikke en garanti.

Hva bør du gjøre?

  1. Oppgrader Cursor til versjon 3.0 eller nyere, der begge feilene er fikset (utgitt i april).
  1. Behandle MCP-servere og web-søkeresultater som utrustet input, og la aldri en agent kjøre kommandoer utledet fra innhold den nettopp hentet.
  2. Kjør autonome agenter i en container eller virtuell maskin i stedet for på din personlige maskin, så et sandbox-brudd får begrenset rekkevidde.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN