Cato AI Labs ha divulgato due falle critiche in Cursor, l'editor di codice con IA. La coppia è soprannominata DuneSlide. Secondo Cato AI Labs, entrambe portano un punteggio CVSS critico di 9.8. Prima la buona notizia: sono già corrette in Cursor 3.0. Per il quadro più ampio sulla sicurezza, aiutano la nostra guida Cursor AI è sicuro e la nostra panoramica sicurezza degli agenti IA.
Cosa ha trovato Cato AI Labs
Secondo Cato AI Labs, i suoi ricercatori hanno trovato due falle in Cursor. Cato ha chiamato la coppia DuneSlide. Le falle hanno ricevuto due identificativi: CVE-2026-50548 e CVE-2026-50549. Entrambe hanno un punteggio CVSS critico di 9.8, la fascia più alta. Cato AI Labs ha condiviso i dettagli il 1 luglio 2026.
Cato segnala anche quanto sia diffuso Cursor. Secondo Cato AI Labs, più della metà delle Fortune 500 lo usa. Una falla qui raggiunge quindi molti team.
Come funziona l'attacco DuneSlide
Secondo Cato AI Labs, l'attacco parte da una indirect prompt injection. L'idea è semplice. Scrivi un prompt normale e innocuo. L'agente IA legge poi contenuti esterni per aiutarti. Quel contenuto può essere un risultato di ricerca web o una risposta di un server MCP. Se un attaccante controlla quel contenuto, può nascondervi degli ordini.
L'agente legge quegli ordini nascosti. Li tratta come la tua richiesta. Secondo Cato AI Labs, questo permette all'agente di evadere dal suo sandbox. Il sandbox è la scatola sicura che tiene l'agente lontano dal resto della tua macchina. Una volta fuori, l'agente può eseguire comandi sul tuo computer. I team di sicurezza lo chiamano RCE, sigla di remote code execution.
Un dettaglio conta. Secondo Cato AI Labs, l'attacco è zero-click. Non clicchi alcun link trappola. Lanci solo un prompt normale che, per caso, assorbe il contenuto avvelenato.

Le due falle in parole semplici
Secondo Cato AI Labs, ogni CVE usa un trucco diverso.
- CVE-2026-50548: il prompt nascosto dice all'agente di impostare il suo working_directory fuori dalla cartella del progetto. Questo gli permette di scrivere in punti sensibili, come l'helper cursorsandbox. Scrivere lì disattiva il sandbox.
- CVE-2026-50549: il prompt nascosto crea un symlink dentro il progetto. Un symlink è una scorciatoia che punta a un altro file. Qui punta a un file fuori dal progetto. Cursor esegue un controllo per ripulire il percorso. Secondo Cato AI Labs, quando quel controllo fallisce, l'agente ripiega sul percorso grezzo del symlink, che non viene mai validato.
Entrambi i trucchi finiscono allo stesso modo. L'agente lascia la sua scatola sicura e agisce alle condizioni dell'attaccante.
Il punto chiave: già corretto in Cursor 3.0
Ecco la parte che dovrebbe tranquillizzarti. Secondo Cato AI Labs, entrambe le falle colpiscono solo le versioni precedenti a Cursor 3.0. Cursor 3.0 è uscito il 2 aprile 2026. Corregge già entrambe. Quindi la correzione è arrivata prima del rapporto pubblico.
L'azione è piccola: aggiorna Cursor alla 3.0 o più recente. La maggior parte è già lì. Secondo Cato AI Labs, non sono stati segnalati attacchi in circolazione. È un caso da «applica la patch e vai avanti», non una crisi. Se stai valutando strumenti, il nostro confronto Cursor vs Claude Code e la nostra lista alternative a Cursor 2026 possono aiutare.
La cronologia della divulgazione
Secondo Cato AI Labs, la segnalazione ha avuto diverse fasi:
- 19 febbraio: Cato segnala le falle a Cursor.
- 23 febbraio: Cursor all'inizio respinge la segnalazione. Il suo modello di minaccia non contava l'abuso di server MCP come un rischio.
- 26 febbraio: dopo l'insistenza di Cato, Cursor riapre il caso.
- Cursor 3.0: la correzione arriva in quella versione.
La lezione è ampia. Man mano che gli agenti IA leggono più contenuti esterni, i livelli MCP e web diventano parte della superficie di attacco. La nostra guida migliori assistenti di codifica IA 2026 spiega come i principali strumenti gestiscono questo.
Cosa dovrebbero fare gli sviluppatori
Mantieni la cosa semplice. Apri Cursor e controlla la tua versione. Se è sotto la 3.0, aggiorna adesso. Se è 3.0 o più recente, hai già la correzione. Tratta i server MCP e le fonti web come qualsiasi input: utili, ma non sempre sicuri. Cato AI Labs ha trovato le falle, Cursor le ha corrette, e a te basta restare aggiornato.



