Sikkerhetsforskere i Cato Networks fant to sårbarheter i Cursor (CVE-2026-50548 og CVE-2026-50549) som lot en angriper bryte ut av IDE-ens kommando-sandbox og oppnå fjernkjøring av kode (RCE). Angrepet krever ingen forkunnskap om brukeren og ingen spesiell handling: det utløses når et uskyldig prompt utilsiktet drar inn en forgiftet nyttelast fra en MCP-server eller et web-søkeresultat.
Sandboxen skal hindre den innebygde agenten i å skrive utenfor prosjektmappen. Den første feilen ligger i verktøyet run_terminal_cmd: en parameter kalt working_directory lar agenten overstyre standardstien, så injeksjonen kan styre skrivingen mot en angriperkontrollert sti utenfor prosjektet. Da kan angriperen overskrive selve cursorsandbox-programmet, gjemme kode i shell-konfigurasjonen som lastes ved hver kommando, eller legge et oppstartsskript i ~/Library/LaunchAgents på macOS. Den andre feilen er en symlink som Cursor følger fordi kanoniserings-logikken faller tilbake til den opprinnelige stien inne i prosjektet når den ikke klarer å slå opp lenken.
«Cato AI Labs er i ferd med å ansvarlig avdekke sårbarheter i alle populære kode-agenter, noe som viser at det trengs en mer systemisk tilnærming til beskyttelse» — Cato Networks
Poenget rekker lenger enn Cursor. Cato sier flere KI-drevne IDE-er har samme type logikkfeil i isolasjonslaget, og at prompt-injeksjon her fungerer som en angrepsvektor mot selve programvaren som kjører agenten, ikke bare mot modellen. Cursor, som nylig ble kjøpt av SpaceX for 60 milliarder dollar i aksjer, er blant de mest brukte kode-verktøyene i næringslivet. For deg som kjører autonome kode-agenter betyr funnet at sandboxen er en del av angrepsflaten, ikke en garanti.
Hva bør du gjøre?
- Oppgrader Cursor til versjon 3.0 eller nyere, der begge feilene er fikset (utgitt i april).
- Behandle MCP-servere og web-søkeresultater som utrustet input, og la aldri en agent kjøre kommandoer utledet fra innhold den nettopp hentet.
- Kjør autonome agenter i en container eller virtuell maskin i stedet for på din personlige maskin, så et sandbox-brudd får begrenset rekkevidde.