Cato AI Labs hat zwei kritische Lücken in Cursor offengelegt, dem KI-Code-Editor. Das Paar trägt den Spitznamen DuneSlide. Laut Cato AI Labs haben beide einen kritischen CVSS-Score von 9.8. Die gute Nachricht zuerst: Sie sind in Cursor 3.0 bereits behoben. Für das größere Sicherheitsbild helfen unser Leitfaden ist Cursor AI sicher und unser Überblick Sicherheit von KI-Agenten.
Was Cato AI Labs fand
Laut Cato AI Labs fanden seine Forscher zwei Lücken in Cursor. Cato nannte das Paar DuneSlide. Die Lücken erhielten zwei Kennungen: CVE-2026-50548 und CVE-2026-50549. Beide tragen einen kritischen CVSS-Score von 9.8, die höchste Stufe. Cato AI Labs teilte die Details am 1. Juli 2026.
Cato weist auch auf die weite Verbreitung von Cursor hin. Laut Cato AI Labs nutzt mehr als die Hälfte der Fortune 500 das Tool. Eine Lücke hier erreicht also viele Teams.
Wie der DuneSlide-Angriff funktioniert
Laut Cato AI Labs beginnt der Angriff mit einer indirect prompt injection. Die Idee ist einfach. Du tippst einen normalen, harmlosen Prompt. Der KI-Agent liest dann externe Inhalte, um dir zu helfen. Dieser Inhalt kann ein Websuche-Ergebnis oder eine Antwort eines MCP-Servers sein. Kontrolliert ein Angreifer diesen Inhalt, kann er Befehle darin verstecken.
Der Agent liest diese versteckten Befehle. Er behandelt sie als deine Anfrage. Laut Cato AI Labs lässt das den Agenten aus seinem Sandbox ausbrechen. Der Sandbox ist die sichere Box, die den Agenten vom Rest deiner Maschine fernhält. Einmal draußen, kann der Agent Befehle auf deinem Computer ausführen. Sicherheitsteams nennen das RCE, kurz für Remote Code Execution.
Ein Detail zählt. Laut Cato AI Labs ist der Angriff zero-click. Du klickst auf keinen bösen Link. Du startest nur einen normalen Prompt, der zufällig den vergifteten Inhalt einsaugt.

Die zwei Lücken in klaren Worten
Laut Cato AI Labs nutzt jede CVE einen anderen Trick.
- CVE-2026-50548: Der versteckte Prompt weist den Agenten an, sein working_directory außerhalb des Projektordners zu setzen. Das erlaubt ihm, an sensiblen Stellen zu schreiben, etwa im Helfer cursorsandbox. Dort zu schreiben schaltet den Sandbox aus.
- CVE-2026-50549: Der versteckte Prompt legt einen Symlink im Projekt an. Ein Symlink ist eine Verknüpfung, die auf eine andere Datei zeigt. Hier zeigt sie auf eine Datei außerhalb des Projekts. Cursor führt eine Prüfung aus, um den Pfad zu bereinigen. Laut Cato AI Labs fällt der Agent, wenn diese Prüfung fehlschlägt, auf den rohen Symlink-Pfad zurück, der nie validiert wird.
Beide Tricks enden gleich. Der Agent verlässt seine sichere Box und handelt nach den Vorgaben des Angreifers.
Der Kernpunkt: in Cursor 3.0 bereits behoben
Hier ist der Teil, der dich beruhigen sollte. Laut Cato AI Labs treffen beide Lücken nur Versionen vor Cursor 3.0. Cursor 3.0 erschien am 2. April 2026. Es behebt beide bereits. Der Fix kam also vor dem öffentlichen Bericht.
Die Aktion ist klein: Aktualisiere Cursor auf 3.0 oder neuer. Die meisten sind schon dort. Laut Cato AI Labs wurden keine Angriffe in freier Wildbahn gemeldet. Das ist ein Fall von „patchen und weiter", keine Krise. Wenn du Tools abwägst, können unser Vergleich Cursor vs Claude Code und unsere Liste Cursor-Alternativen 2026 helfen.
Die Zeitleiste der Offenlegung
Laut Cato AI Labs hatte der Bericht mehrere Wendungen:
- 19. Februar: Cato meldet die Lücken an Cursor.
- 23. Februar: Cursor lehnt den Bericht zunächst ab. Sein Bedrohungsmodell zählte den Missbrauch von MCP-Servern nicht als Risiko.
- 26. Februar: nach Nachdruck von Cato öffnet Cursor den Fall erneut.
- Cursor 3.0: Der Fix wird in dieser Version ausgeliefert.
Die Lektion ist breit. Da KI-Agenten mehr externe Inhalte lesen, werden die MCP- und Web-Ebenen Teil der Angriffsfläche. Unser Leitfaden beste KI-Coding-Assistenten 2026 behandelt, wie die wichtigsten Tools damit umgehen.
Was Entwickler tun sollten
Halte es einfach. Öffne Cursor und prüfe deine Version. Ist sie unter 3.0, aktualisiere jetzt. Ist sie 3.0 oder neuer, hast du den Fix bereits. Behandle MCP-Server und Web-Quellen wie jede Eingabe: nützlich, aber nicht immer sicher. Cato AI Labs fand die Lücken, Cursor behob sie, und du musst nur aktuell bleiben.



