alexi.sh
Alle ArtikelBrowser-SicherheitNetzwerk-PrivatsphäreDatenschutz-ToolsBedrohungsmodellierungKI-ProgrammierungDev-Tools

alexi.shAI Engineering Lab

ai-coding

Kritische Cursor-Lücken (DuneSlide): Zero-Click-RCE per Prompt Injection, in 3.0 behoben

PrivSec Lab3 Min. Lesezeit
Ein Code-Editor auf einem dunklen Bildschirm zeigt HTML-Quellcode mit einer Menüleiste oben

Cato AI Labs hat zwei kritische Cursor-Lücken mit dem Spitznamen DuneSlide offengelegt (CVE-2026-50548 und CVE-2026-50549, CVSS 9.8). Sie erlauben Zero-Click Remote Code Execution per indirect prompt injection. Wie sie funktionieren und warum sie in Cursor 3.0 bereits behoben sind.

Cato AI Labs hat zwei kritische Lücken in Cursor offengelegt, dem KI-Code-Editor. Das Paar trägt den Spitznamen DuneSlide. Laut Cato AI Labs haben beide einen kritischen CVSS-Score von 9.8. Die gute Nachricht zuerst: Sie sind in Cursor 3.0 bereits behoben. Für das größere Sicherheitsbild helfen unser Leitfaden ist Cursor AI sicher und unser Überblick Sicherheit von KI-Agenten.

Was Cato AI Labs fand

Laut Cato AI Labs fanden seine Forscher zwei Lücken in Cursor. Cato nannte das Paar DuneSlide. Die Lücken erhielten zwei Kennungen: CVE-2026-50548 und CVE-2026-50549. Beide tragen einen kritischen CVSS-Score von 9.8, die höchste Stufe. Cato AI Labs teilte die Details am 1. Juli 2026.

Cato weist auch auf die weite Verbreitung von Cursor hin. Laut Cato AI Labs nutzt mehr als die Hälfte der Fortune 500 das Tool. Eine Lücke hier erreicht also viele Teams.

Wie der DuneSlide-Angriff funktioniert

Laut Cato AI Labs beginnt der Angriff mit einer indirect prompt injection. Die Idee ist einfach. Du tippst einen normalen, harmlosen Prompt. Der KI-Agent liest dann externe Inhalte, um dir zu helfen. Dieser Inhalt kann ein Websuche-Ergebnis oder eine Antwort eines MCP-Servers sein. Kontrolliert ein Angreifer diesen Inhalt, kann er Befehle darin verstecken.

Der Agent liest diese versteckten Befehle. Er behandelt sie als deine Anfrage. Laut Cato AI Labs lässt das den Agenten aus seinem Sandbox ausbrechen. Der Sandbox ist die sichere Box, die den Agenten vom Rest deiner Maschine fernhält. Einmal draußen, kann der Agent Befehle auf deinem Computer ausführen. Sicherheitsteams nennen das RCE, kurz für Remote Code Execution.

Ein Detail zählt. Laut Cato AI Labs ist der Angriff zero-click. Du klickst auf keinen bösen Link. Du startest nur einen normalen Prompt, der zufällig den vergifteten Inhalt einsaugt.

Ein weißer humanoider Roboter mit leuchtend blauen Augen vor dunklem Hintergrund

Die zwei Lücken in klaren Worten

Laut Cato AI Labs nutzt jede CVE einen anderen Trick.

  • CVE-2026-50548: Der versteckte Prompt weist den Agenten an, sein working_directory außerhalb des Projektordners zu setzen. Das erlaubt ihm, an sensiblen Stellen zu schreiben, etwa im Helfer cursorsandbox. Dort zu schreiben schaltet den Sandbox aus.
  • CVE-2026-50549: Der versteckte Prompt legt einen Symlink im Projekt an. Ein Symlink ist eine Verknüpfung, die auf eine andere Datei zeigt. Hier zeigt sie auf eine Datei außerhalb des Projekts. Cursor führt eine Prüfung aus, um den Pfad zu bereinigen. Laut Cato AI Labs fällt der Agent, wenn diese Prüfung fehlschlägt, auf den rohen Symlink-Pfad zurück, der nie validiert wird.

Beide Tricks enden gleich. Der Agent verlässt seine sichere Box und handelt nach den Vorgaben des Angreifers.

Der Kernpunkt: in Cursor 3.0 bereits behoben

Hier ist der Teil, der dich beruhigen sollte. Laut Cato AI Labs treffen beide Lücken nur Versionen vor Cursor 3.0. Cursor 3.0 erschien am 2. April 2026. Es behebt beide bereits. Der Fix kam also vor dem öffentlichen Bericht.

Die Aktion ist klein: Aktualisiere Cursor auf 3.0 oder neuer. Die meisten sind schon dort. Laut Cato AI Labs wurden keine Angriffe in freier Wildbahn gemeldet. Das ist ein Fall von „patchen und weiter", keine Krise. Wenn du Tools abwägst, können unser Vergleich Cursor vs Claude Code und unsere Liste Cursor-Alternativen 2026 helfen.

Die Zeitleiste der Offenlegung

Laut Cato AI Labs hatte der Bericht mehrere Wendungen:

  • 19. Februar: Cato meldet die Lücken an Cursor.
  • 23. Februar: Cursor lehnt den Bericht zunächst ab. Sein Bedrohungsmodell zählte den Missbrauch von MCP-Servern nicht als Risiko.
  • 26. Februar: nach Nachdruck von Cato öffnet Cursor den Fall erneut.
  • Cursor 3.0: Der Fix wird in dieser Version ausgeliefert.

Die Lektion ist breit. Da KI-Agenten mehr externe Inhalte lesen, werden die MCP- und Web-Ebenen Teil der Angriffsfläche. Unser Leitfaden beste KI-Coding-Assistenten 2026 behandelt, wie die wichtigsten Tools damit umgehen.

Was Entwickler tun sollten

Halte es einfach. Öffne Cursor und prüfe deine Version. Ist sie unter 3.0, aktualisiere jetzt. Ist sie 3.0 oder neuer, hast du den Fix bereits. Behandle MCP-Server und Web-Quellen wie jede Eingabe: nützlich, aber nicht immer sicher. Cato AI Labs fand die Lücken, Cursor behob sie, und du musst nur aktuell bleiben.

Foto: Pexels (source)

Auch verfügbar in

FAQ

Was ist DuneSlide?
Laut Cato AI Labs ist DuneSlide der Spitzname für zwei kritische Cursor-Lücken, CVE-2026-50548 und CVE-2026-50549, beide mit CVSS 9.8 bewertet. Cato legte sie am 1. Juli 2026 offen. Sie sind in Cursor 3.0 bereits behoben.
Bin ich gefährdet?
Nur wenn du eine Cursor-Version vor 3.0 nutzt. Laut Cato AI Labs behebt Cursor 3.0 (veröffentlicht am 2. April 2026) bereits beide Lücken. Aktualisiere auf 3.0 oder neuer, dann bist du geschützt. Aktive Ausnutzung wurde nicht gemeldet.
Wie funktioniert der Angriff?
Laut Cato AI Labs nutzt er indirect prompt injection. Der Agent liest nicht vertrauenswürdige Inhalte, etwa ein vergiftetes Websuche-Ergebnis oder eine Antwort eines MCP-Servers. Versteckte Anweisungen drängen den Agenten dann, aus seinem Sandbox auszubrechen und Befehle auszuführen. Es ist zero-click.
Was soll ich tun?
Aktualisiere Cursor auf Version 3.0 oder neuer. Laut Cato AI Labs nutzen die meisten schon eine behobene Version. Prüfe deine Version in der App und aktualisiere bei Bedarf.