alexi.sh
Tutti gli articoliSicurezza del browserPrivacy di reteStrumenti per la privacyModellazione delle minacceProgrammazione con IAStrumenti per sviluppatori

alexi.shLaboratorio di Ingegneria AI

ai-coding

Falle critiche di Cursor (DuneSlide): RCE zero-click via prompt injection, corrette nella 3.0

PrivSec Lab4 min di lettura
Un editor di codice su uno schermo scuro che mostra codice sorgente HTML con una barra dei menu in alto

Cato AI Labs ha divulgato due falle critiche di Cursor soprannominate DuneSlide (CVE-2026-50548 e CVE-2026-50549, CVSS 9.8). Permettono l'esecuzione di codice da remoto zero-click tramite indirect prompt injection. Come funzionano e perché sono già corrette in Cursor 3.0.

Cato AI Labs ha divulgato due falle critiche in Cursor, l'editor di codice con IA. La coppia è soprannominata DuneSlide. Secondo Cato AI Labs, entrambe portano un punteggio CVSS critico di 9.8. Prima la buona notizia: sono già corrette in Cursor 3.0. Per il quadro più ampio sulla sicurezza, aiutano la nostra guida Cursor AI è sicuro e la nostra panoramica sicurezza degli agenti IA.

Cosa ha trovato Cato AI Labs

Secondo Cato AI Labs, i suoi ricercatori hanno trovato due falle in Cursor. Cato ha chiamato la coppia DuneSlide. Le falle hanno ricevuto due identificativi: CVE-2026-50548 e CVE-2026-50549. Entrambe hanno un punteggio CVSS critico di 9.8, la fascia più alta. Cato AI Labs ha condiviso i dettagli il 1 luglio 2026.

Cato segnala anche quanto sia diffuso Cursor. Secondo Cato AI Labs, più della metà delle Fortune 500 lo usa. Una falla qui raggiunge quindi molti team.

Come funziona l'attacco DuneSlide

Secondo Cato AI Labs, l'attacco parte da una indirect prompt injection. L'idea è semplice. Scrivi un prompt normale e innocuo. L'agente IA legge poi contenuti esterni per aiutarti. Quel contenuto può essere un risultato di ricerca web o una risposta di un server MCP. Se un attaccante controlla quel contenuto, può nascondervi degli ordini.

L'agente legge quegli ordini nascosti. Li tratta come la tua richiesta. Secondo Cato AI Labs, questo permette all'agente di evadere dal suo sandbox. Il sandbox è la scatola sicura che tiene l'agente lontano dal resto della tua macchina. Una volta fuori, l'agente può eseguire comandi sul tuo computer. I team di sicurezza lo chiamano RCE, sigla di remote code execution.

Un dettaglio conta. Secondo Cato AI Labs, l'attacco è zero-click. Non clicchi alcun link trappola. Lanci solo un prompt normale che, per caso, assorbe il contenuto avvelenato.

Un robot umanoide bianco con occhi azzurri luminosi davanti a uno sfondo scuro

Le due falle in parole semplici

Secondo Cato AI Labs, ogni CVE usa un trucco diverso.

  • CVE-2026-50548: il prompt nascosto dice all'agente di impostare il suo working_directory fuori dalla cartella del progetto. Questo gli permette di scrivere in punti sensibili, come l'helper cursorsandbox. Scrivere lì disattiva il sandbox.
  • CVE-2026-50549: il prompt nascosto crea un symlink dentro il progetto. Un symlink è una scorciatoia che punta a un altro file. Qui punta a un file fuori dal progetto. Cursor esegue un controllo per ripulire il percorso. Secondo Cato AI Labs, quando quel controllo fallisce, l'agente ripiega sul percorso grezzo del symlink, che non viene mai validato.

Entrambi i trucchi finiscono allo stesso modo. L'agente lascia la sua scatola sicura e agisce alle condizioni dell'attaccante.

Il punto chiave: già corretto in Cursor 3.0

Ecco la parte che dovrebbe tranquillizzarti. Secondo Cato AI Labs, entrambe le falle colpiscono solo le versioni precedenti a Cursor 3.0. Cursor 3.0 è uscito il 2 aprile 2026. Corregge già entrambe. Quindi la correzione è arrivata prima del rapporto pubblico.

L'azione è piccola: aggiorna Cursor alla 3.0 o più recente. La maggior parte è già lì. Secondo Cato AI Labs, non sono stati segnalati attacchi in circolazione. È un caso da «applica la patch e vai avanti», non una crisi. Se stai valutando strumenti, il nostro confronto Cursor vs Claude Code e la nostra lista alternative a Cursor 2026 possono aiutare.

La cronologia della divulgazione

Secondo Cato AI Labs, la segnalazione ha avuto diverse fasi:

  • 19 febbraio: Cato segnala le falle a Cursor.
  • 23 febbraio: Cursor all'inizio respinge la segnalazione. Il suo modello di minaccia non contava l'abuso di server MCP come un rischio.
  • 26 febbraio: dopo l'insistenza di Cato, Cursor riapre il caso.
  • Cursor 3.0: la correzione arriva in quella versione.

La lezione è ampia. Man mano che gli agenti IA leggono più contenuti esterni, i livelli MCP e web diventano parte della superficie di attacco. La nostra guida migliori assistenti di codifica IA 2026 spiega come i principali strumenti gestiscono questo.

Cosa dovrebbero fare gli sviluppatori

Mantieni la cosa semplice. Apri Cursor e controlla la tua versione. Se è sotto la 3.0, aggiorna adesso. Se è 3.0 o più recente, hai già la correzione. Tratta i server MCP e le fonti web come qualsiasi input: utili, ma non sempre sicuri. Cato AI Labs ha trovato le falle, Cursor le ha corrette, e a te basta restare aggiornato.

Foto: Pexels (source)

Disponibile anche in

FAQ

Cos'è DuneSlide?
Secondo Cato AI Labs, DuneSlide è il soprannome di due falle critiche di Cursor, CVE-2026-50548 e CVE-2026-50549, entrambe valutate CVSS 9.8. Cato le ha divulgate il 1 luglio 2026. Sono già corrette in Cursor 3.0.
Sono a rischio?
Solo se usi una versione di Cursor precedente alla 3.0. Secondo Cato AI Labs, Cursor 3.0 (uscita il 2 aprile 2026) corregge già entrambe le falle. Aggiorna alla 3.0 o più recente e sei coperto. Non è stato segnalato alcuno sfruttamento attivo.
Come funziona l'attacco?
Secondo Cato AI Labs, usa una indirect prompt injection. L'agente legge contenuti non affidabili, come un risultato di ricerca web avvelenato o una risposta di un server MCP. Istruzioni nascoste spingono poi l'agente a evadere dal suo sandbox e a eseguire comandi. È zero-click.
Cosa devo fare?
Aggiorna Cursor alla versione 3.0 o più recente. Secondo Cato AI Labs, la maggior parte degli utenti usa già una versione corretta. Controlla la tua versione nell'app e aggiorna se serve.