文章总结: CatoAI披露CursorIDE两个零点击RCE漏洞DuneSlide,CVSS评分9.8。攻击者利用提示注入操纵工作目录参数或绕过符号链接规范化,覆写沙箱关键文件以完全突破防护,危害本地与SaaS环境。这表明单纯沙箱无法约束自主编码Agent,建议企业采取架构级系统性防御以保障AI开发工具安全。 综合评分: 80 文章分类: 漏洞分析,漏洞预警,AI安全
Cursor IDE曝两大高危RCE漏洞,可零点击攻破AI开发环境
FreeBuf
2026年7月2日 18:00 上海
在小说阅读器读本章
去阅读
在超过半数财富500强企业使用的AI开发环境Cursor IDE中,发现两个关键远程代码执行(RCE)漏洞。Cato AI实验室披露了这两个被命名为”DuneSlide”的漏洞(CVE-2026-50548和CVE-2026-50549),CVSS严重性评分均为9.8分,攻击者可借此完全突破Cursor的沙箱防护。
这些漏洞表明,提示注入攻击的影响范围已不仅限于操纵大语言模型(LLM)输出,还能触及传统代码路径——这些路径此前从未被视为攻击面的一部分。漏洞利用可使威胁行为者覆写关键系统文件(如cursorsandbox二进制文件),将沙箱终端命令转化为完全不受限的RCE,进而同时危害本地机器和连接的SaaS工作区。
这两个漏洞的触发均无需任何用户权限或主动交互,受害者只需发出一个看似无害的提示,该提示会无意中从未受信任来源(如MCP服务器响应或被污染的网页搜索结果)加载攻击者控制的内容。
Cursor 2.x版本会在沙箱内自动运行Agent终端命令而无需用户批准,这种设计本意是减少批准疲劳,同时限制简单提示注入可能造成的危害升级。
Part01
漏洞一:工作目录操纵
CVE-2026-50548源于Cursor沙箱对命令工作目录授予写入权限的机制。由于working_directory是run_terminal_cmd工具中一个可选的、由LLM控制的参数,提示注入可引导Agent将其设置为攻击者指定的项目根目录之外的路径。
这使得攻击者能够写入敏感位置,包括/Applications/Cursor.app/Contents/Resources/app/resources/helpers/cursorsandbox处的cursorsandbox辅助程序,或~/.zshrc和~/Library/LaunchAgents等文件,从而解除同一注入中后续命令的沙箱限制。
Part02
漏洞二:符号链接规范化绕过
CVE-2026-50549是Cursor路径解析逻辑中的一个独立缺陷。提示注入可引导Agent在项目目录内创建指向外部文件的符号链接;当Cursor的规范化步骤失败时(例如目标不存在或缺乏读取权限),Agent会回退到信任原始的、未经验证的符号链接路径。
这绕过了越界写入检查,使攻击者能够通过符号链接覆写相同的cursorsandbox辅助程序,在无需任何用户交互的情况下实现特权RCE。
DuneSlide事件表明,当参数验证和路径解析的边缘情况仍可通过提示注入被利用时,仅靠沙箱无法约束自主编码Agent的行为。Cato AI实验室表示正在对其他流行编码Agent持续进行负责任的漏洞披露,指出需要系统性、架构级的防御措施而非零散补丁来确保AI驱动开发工具的安全性。
参考来源:
Critical Cursor IDE RCE Vulnerabilities Enable Prompt Injection in Zero-Click
Critical Cursor IDE RCE Vulnerabilities Enable Prompt Injection in Zero-Click
推荐阅读
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
电报讨论
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:FreeBuf 《Cursor IDE曝两大高危RCE漏洞,可零点击攻破AI开发环境》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论