Hauptanalyse
Sicherheit & Risiko6 Min.

Zwei RCE 9.8 im Cursor zeigen, wie Prompt Injection zu einem Remote-Execution-Vektor in einer KI-IDE wurde

Estação de desenvolvedor à noite com três monitores curvos, janela de IDE congelada, chave Yubikey com LED vermelho e caderno aberto com esboços de symlinks e diretórios.

Cato AI Labs hat am Mittwoch DuneSlide veröffentlicht, ein Paar von Zero-Click-Exploits in Cursor 3.0, die Sandboxing durch in MCP oder einer vom Agenten geladenen Webseite platzierte Anweisungen aufbrechen.

Cato AI Labs hat am Mittwoch, den 1. Juli, zwei kritische Sicherheitsanfälligkeiten im Cursor veröffentlicht, einer KI-basierten IDE, die von mehr als der Hälfte der Fortune 500 genutzt wird, so der Hersteller selbst. Die Schwachstellen, die als CVE-2026-50548 und CVE-2026-50549 verfolgt werden und beide einen CVSS von 9.8 haben, ermöglichen die Ausführung von Remote-Code auf dem Host des Entwicklers aus schädlichen Inhalten, die in einen durch das Model Context Protocol (MCP) verbundenen Dienst oder auf eine Webseite, die der Cursor-Agent während einer Websuche lädt, eingeschleust wurden. Der Angriff ist ein Zero-Click: Der Entwickler gibt nichts ein, der Agent liest die vergiftete Anweisung und führt sie aus.


Anysphere, der Hersteller von Cursor, hat die beiden Bugs in Version 3.0 behoben, die am 2. April veröffentlicht wurde. Der Zeitraum zwischen dem Patch und der öffentlichen Bekanntgabe ist typisch für koordinierte Offenlegungen, betrifft jedoch die gesamte installierte Basis vor der Version 3.0. Dieses Universum umfasst laut Cursor Ingenieurteams in Beratungsunternehmen und Banken, die das Tool in den letzten zwölf Monaten in Code-Agent-Pipelines standardisiert haben.


Wie das Sandboxing gebrochen wurde


CVE-2026-50548 nutzt ein Verhalten des Sandboxes aus. Wenn der Agent das Tool run_terminal_cmd ausführt, erlaubt Cursor das Schreiben im angegebenen Arbeitsverzeichnis. Der Parameter working_directory ist optional und wird vom Sprachmodell selbst kontrolliert. Eine Prompt Injection, die es schafft, diesen Parameter auf einen Pfad außerhalb des Projekts zu setzen, der auf die Binary cursorsandbox oder auf den Installer von Cursor zeigt, verwandelt einen sandboxed Befehl in arbiträres Schreiben, und beliebiges Schreiben im Helper des Sandboxes wird im nächsten Zyklus zu vollständiger RCE.


CVE-2026-50549 umgeht die Pfadauflösung. Cursor erstellt einen Symlink innerhalb des Projektverzeichnisses, versucht, das Ziel zu kanonisieren, und wenn die Kanonisierung fehlschlägt, wird auf den ursprünglichen Pfad des Symlinks ohne Validierung zurückgegriffen. Eine Prompt Injection, die es schafft, den Symlink auf einen Pfad außerhalb des Projekts zu setzen, umgeht dieselbe Sperre. Beide Ketten führen zum gleichen Ergebnis: vollständige Kompromittierung der Maschine und des verbundenen SaaS-Workspaces.


Prompt Injection ist kein Problem mehr für LLM


Der Punkt, den das Cato-Team im Bericht aufwirft, reformatiert die Diskussion über die Sicherheit von Agenten. Prompt Injection hat sich von einem Problem des Sprachmodells, das im Gespräch zwischen Benutzer und Chatbot begrenzt ist, hin zu klassischen Fehlern im Hilfscode der IDE entwickelt: Sandboxing, Kanonisierung, Umgang mit working_directory. Keiner dieser Teile wurde unter der Annahme entworfen, dass der Parameter von einem externen MCP kommt, das während der autonomen Ausführung geladen wird. Der Agent ist der Vermittler, der den feindlichen Input legitimiert.


Eine Umfrage von Pillar Security, die diese Woche über eine parallele Kette namens NomShub veröffentlicht wurde, untersucht die Funktion des Remote Tunnel von Cursor im gleichen Sinne. Laut den Forschern ist die Pipeline von Agenten zu dem neuen Sicherheit perimeter der Entwicklerstation geworden. Die Anwendungssicherheitsteams, die jahrelang Regeln zum Erkennen von anfälligen Abhängigkeiten in CI geschrieben haben, müssen jetzt überprüfen, welche MCPs die Entwickler an ihren eigenen Workstations anschließen und unter welcher Genehmigungspolitik.


Was sich für Beratungsunternehmen und Banken ändert


Für verteilte Ingenieurbetriebe ist das Problem geometrisch. Delivery-Teams in Bangalore, Krakau und São Paulo arbeiten mit dem gleichen Backlog von Tickets, mit MCPs, die Kontext von Jira, Slack und Confluence des Kunden abrufen. Eine vergiftete Anweisung innerhalb eines Tickets, die von einem böswilligen Insider oder von einem Angreifer mit gestohlenen Anmeldeinformationen platziert wurde, verbreitet sich auf jede Station mit der Version vor 3.0. Beratungsunternehmen mit Entwicklungszentren in Drittstaaten tragen die größte Gefährdung, da sie Cursor standardisiert haben, ohne zu inventorieren, wie viele Entwickler in den letzten drei Monaten auf 3.0 aktualisiert haben.


Banken, die Cursor in interne Code-Review-Pipelines integriert haben, haben eine andere Frage zu stellen, in Bezug auf die Einhaltung von Vorschriften. Wenn Cursor Code innerhalb des Sandboxes unter Anleitung eines LLM ausführt, das auf ein externes MCP reagiert, und wenn dieses externe MCP vom Entwickler ohne formalen Änderungsantrag genehmigt wird, ist der Vorgang eine Änderung der Angriffsfläche, die eine Änderungsgenehmigung gemäß DORA in Europa und gemäß der Regel 15c3-5 der SEC in den USA erfordern würde. Keines dieser Regime wurde für autonome Agenten geschrieben. DuneSlide ist derartige Vorfälle, die zu einer konservativen Lesart beider führen.

Hauptanalyse