Cato AI Labs ha divulgado dos fallos críticos en Cursor, el editor de código con IA. La pareja está apodada DuneSlide. Según Cato AI Labs, ambos llevan una puntuación CVSS crítica de 9.8. La buena noticia primero: ya están corregidos en Cursor 3.0. Para la visión más amplia sobre seguridad, ayudan nuestra guía ¿es seguro Cursor IA? y nuestro panorama seguridad de agentes de IA.
Qué encontró Cato AI Labs
Según Cato AI Labs, sus investigadores hallaron dos fallos en Cursor. Cato nombró a la pareja DuneSlide. Los fallos recibieron dos identificadores: CVE-2026-50548 y CVE-2026-50549. Ambos tienen una puntuación CVSS crítica de 9.8, la franja más alta. Cato AI Labs compartió los detalles el 1 de julio de 2026.
Cato también señala lo extendido que está Cursor. Según Cato AI Labs, más de la mitad del Fortune 500 lo usa. Así que un fallo aquí alcanza a muchos equipos.
Cómo funciona el ataque DuneSlide
Según Cato AI Labs, el ataque parte de una indirect prompt injection. La idea es simple. Escribes un prompt normal e inofensivo. El agente de IA lee entonces contenido externo para ayudarte. Ese contenido puede ser un resultado de búsqueda web o una respuesta de un servidor MCP. Si un atacante controla ese contenido, puede esconder órdenes dentro.
El agente lee esas órdenes ocultas. Las trata como tu petición. Según Cato AI Labs, esto permite al agente escapar de su sandbox. El sandbox es la caja segura que mantiene al agente lejos del resto de tu máquina. Una vez fuera, el agente puede ejecutar comandos en tu ordenador. Los equipos de seguridad lo llaman RCE, por remote code execution.
Un detalle importa. Según Cato AI Labs, el ataque es zero-click. No pulsas ningún enlace trampa. Solo lanzas un prompt normal que, por casualidad, absorbe el contenido envenenado.

Los dos fallos en términos claros
Según Cato AI Labs, cada CVE usa un truco distinto.
- CVE-2026-50548: el prompt oculto le dice al agente que fije su working_directory fuera de la carpeta del proyecto. Eso le permite escribir en lugares sensibles, como el helper cursorsandbox. Escribir ahí apaga el sandbox.
- CVE-2026-50549: el prompt oculto crea un symlink dentro del proyecto. Un symlink es un atajo que apunta a otro archivo. Aquí apunta a un archivo fuera del proyecto. Cursor ejecuta una comprobación para limpiar la ruta. Según Cato AI Labs, cuando esa comprobación falla, el agente recae en la ruta cruda del symlink, que nunca se valida.
Ambos trucos acaban igual. El agente deja su caja segura y actúa según los términos del atacante.
El punto clave: ya corregido en Cursor 3.0
Aquí está la parte que debería tranquilizarte. Según Cato AI Labs, ambos fallos afectan solo a las versiones anteriores a Cursor 3.0. Cursor 3.0 salió el 2 de abril de 2026. Ya corrige ambos. Así que la corrección llegó antes del informe público.
La acción es pequeña: actualiza Cursor a la 3.0 o más reciente. La mayoría ya está ahí. Según Cato AI Labs, no se han reportado ataques en el mundo real. Es un caso de «parchea y sigue», no una crisis. Si comparas herramientas, nuestra comparativa Cursor vs Claude Code y nuestra lista alternativas a Cursor 2026 pueden ayudar.
La cronología de la divulgación
Según Cato AI Labs, el reporte tuvo varias fases:
- 19 de febrero: Cato reporta los fallos a Cursor.
- 23 de febrero: Cursor rechaza al principio el reporte. Su modelo de amenazas no contaba el abuso de servidor MCP como un riesgo.
- 26 de febrero: tras la insistencia de Cato, Cursor reabre el caso.
- Cursor 3.0: la corrección llega en esa versión.
La lección es amplia. A medida que los agentes de IA leen más contenido externo, las capas MCP y web se vuelven parte de la superficie de ataque. Nuestra guía mejores asistentes de código con IA 2026 cubre cómo lo manejan las principales herramientas.
Qué deben hacer los desarrolladores
Hazlo simple. Abre Cursor y comprueba tu versión. Si es inferior a la 3.0, actualiza ya. Si es 3.0 o más reciente, ya tienes la corrección. Trata a los servidores MCP y las fuentes web como cualquier entrada: útiles, pero no siempre seguras. Cato AI Labs encontró los fallos, Cursor los corrigió, y a ti solo te toca mantenerte al día.



