扫一扫
关注微信公众号

关键光标漏洞:提示注入可突破沙箱执行任意命令
2026-07-03    FreeBuf

  AI代码编辑器Cursor存在两个关键漏洞,仅需看似普通的提示即可突破编辑器安全沙箱,在开发者计算机上执行任意命令。攻击过程无需用户点击操作,也不会触发任何确认对话框。

  Cato AI实验室发现并命名了这对漏洞为DuneSlide,编号为CVE-2026-50548和CVE-2026-50549.CVSS评分均为9.8分(新版CVSS 4.0标准下为9.3分)。漏洞修复补丁已发布,Cursor 3.0版本(4月2日发布)已修复这两个漏洞,所有3.0之前版本均受影响。据开发商透露,超半数财富500强企业使用该工具,用户应立即升级。

  沙箱防护机制及其失效原理

  自2.x版本起,Cursor默认将AI Agent生成的终端命令置于沙箱环境中执行——这个"上锁的盒子"限制命令可访问的范围,防止错误指令破坏系统。DuneSlide的核心就是突破这个限制。攻击入口是提示注入:攻击者无需直接操作你的Cursor,而是将恶意指令植入Agent代你读取的内容中,例如通过模型上下文协议(MCP)连接的服务或网页搜索结果。

  当用户提出正常查询时,隐藏指令会随之执行。由于无需用户点击或确认,这种攻击属于"零点击"类型。两个漏洞利用相同手法:先诱使Agent写入本应禁止的文件,再利用该写入操作关闭沙箱。

  CVE-2026-50548滥用设置参数。沙箱允许向命令工作目录写入文件,而该目录是Cursor的run_terminal_cmd工具的可选参数working_directory。当Agent将其设为非默认路径时,Cursor会无条件将该路径加入白名单。注入的指令将其指向系统文件而非项目文件。覆盖沙箱辅助程序本身(macOS中路径为/Applications/Cursor.app/Contents/Resources/app/resources/helpers/cursorsandbox)后,后续命令将在无沙箱环境下执行。启动文件如~/.zshrc也可作为攻击目标。

  CVE-2026-50549滥用安全检查机制。写入前,Cursor会解析符号链接确认目标位置在项目内。漏洞在于回退机制:当检查失败(目标不存在或路径中文件夹无读取权限)时,Cursor会直接信任符号链接声明的项目内路径。攻击者创建指向项目外的符号链接,迫使检查失败,Cursor便会直接写入相同的沙箱辅助程序——殊途同归的逃逸方式。

  沙箱失效后,后续命令将以用户权限执行,意味着攻击者可控制开发者主机及编辑器登录的所有云/SaaS工作区,这一切仅始于一个看似无害的提示。

  目前尚无实际攻击案例。Cato将其作为研究披露而非活跃攻击活动,公开漏洞记录显示截至发布时尚未发现利用实例。Cato于2月19日报告漏洞,Cursor四天后以"威胁模型不涵盖MCP服务器滥用"为由拒绝承认。经Cato 2月26日升级后,Cursor重新评估并在3.0版本修复。CVE编号于6月5日分配。Cursor已发布符号链接漏洞公告,NVD记录同步更新。

  历史漏洞与行业挑战

  DuneSlide是Cursor系列漏洞的最新案例,这类漏洞均以恶意提示开始,以代码执行告终,每次突破不同的防护机制:

  CurXecute(CVE-2025-54135.2025年8月):同一团队(当时名为Aim Security)发现,通过植入Slack消息改写Cursor配置(~/.cursor/mcp.json),即使用户拒绝修改仍能执行命令。1.3版本修复。

  MCPoison(CVE-2025-54136):Check Point研究发现,攻击者获MCP配置批准后可静默替换恶意命令,无需二次提示。

  CVE-2026-26268(2026年2月):在代码仓库隐藏陷阱Git钩子,Agent执行Git命令时触发。2.5版本修复。

  2.x版本的沙箱正是针对早期漏洞的防护措施,而DuneSlide则突破了这道防线。Cato表示正在披露其他编程Agent的类似漏洞,认为这是结构性问题而非孤立事件。这给所有接入开放网络的Agent开发者留下关键命题:是将所有输入默认为敌对性内容,还是继续疲于奔命地打补丁。

热词搜索:漏洞 沙箱 网络攻击

上一篇:从“最小权限”到“最小代理权”:Akamai解读AI智能体时代的零信任安全新格局
下一篇:最后一页

分享到: 收藏