alexi.sh
Todos os artigosSegurança do navegadorPrivacidade de redeFerramentas de privacidadeModelagem de ameaçasProgramação com IAFerramentas de dev

alexi.shLaboratório de Engenharia de IA

ai-coding

Falhas críticas do Cursor (DuneSlide): RCE zero-click via prompt injection, corrigidas na 3.0

PrivSec Lab4 min de leitura
Um editor de código num ecrã escuro a mostrar código-fonte HTML com uma barra de menu no topo

A Cato AI Labs divulgou duas falhas críticas do Cursor apelidadas de DuneSlide (CVE-2026-50548 e CVE-2026-50549, CVSS 9.8). Permitem execução remota de código zero-click via indirect prompt injection. Como funcionam e porque já estão corrigidas no Cursor 3.0.

A Cato AI Labs divulgou duas falhas críticas no Cursor, o editor de código com IA. O par tem a alcunha DuneSlide. Segundo a Cato AI Labs, ambas têm uma pontuação CVSS crítica de 9.8. Primeiro a boa notícia: já estão corrigidas no Cursor 3.0. Para o panorama mais amplo de segurança, ajudam o nosso guia o Cursor AI é seguro e a nossa visão geral segurança de agentes de IA.

O que a Cato AI Labs encontrou

Segundo a Cato AI Labs, os seus investigadores encontraram duas falhas no Cursor. A Cato deu ao par o nome DuneSlide. As falhas receberam dois identificadores: CVE-2026-50548 e CVE-2026-50549. Ambas têm uma pontuação CVSS crítica de 9.8, a faixa mais alta. A Cato AI Labs partilhou os detalhes a 1 de julho de 2026.

A Cato também nota a extensão do uso do Cursor. Segundo a Cato AI Labs, mais de metade da Fortune 500 usa-o. Uma falha aqui chega, portanto, a muitas equipas.

Como funciona o ataque DuneSlide

Segundo a Cato AI Labs, o ataque parte de uma indirect prompt injection. A ideia é simples. Escreves um prompt normal e inofensivo. O agente de IA lê depois conteúdo externo para te ajudar. Esse conteúdo pode ser um resultado de pesquisa web ou uma resposta de um servidor MCP. Se um atacante controlar esse conteúdo, pode esconder ordens lá dentro.

O agente lê essas ordens ocultas. Trata-as como o teu pedido. Segundo a Cato AI Labs, isto permite ao agente escapar do seu sandbox. O sandbox é a caixa segura que mantém o agente longe do resto da tua máquina. Uma vez fora, o agente pode executar comandos no teu computador. As equipas de segurança chamam a isto RCE, sigla de remote code execution.

Um detalhe importa. Segundo a Cato AI Labs, o ataque é zero-click. Não clicas em nenhum link armadilhado. Apenas lanças um prompt normal que, por acaso, aspira o conteúdo envenenado.

Um robô humanoide branco com olhos azuis luminosos diante de um fundo escuro

As duas falhas em termos simples

Segundo a Cato AI Labs, cada CVE usa um truque diferente.

  • CVE-2026-50548: o prompt oculto diz ao agente para definir o seu working_directory fora da pasta do projeto. Isso permite-lhe escrever em locais sensíveis, como o helper cursorsandbox. Escrever aí desliga o sandbox.
  • CVE-2026-50549: o prompt oculto cria um symlink dentro do projeto. Um symlink é um atalho que aponta para outro ficheiro. Aqui aponta para um ficheiro fora do projeto. O Cursor executa uma verificação para limpar o caminho. Segundo a Cato AI Labs, quando essa verificação falha, o agente recai no caminho bruto do symlink, que nunca é validado.

Ambos os truques acabam da mesma forma. O agente deixa a sua caixa segura e age nos termos do atacante.

O ponto-chave: já corrigido no Cursor 3.0

Aqui está a parte que deve acalmar-te. Segundo a Cato AI Labs, ambas as falhas afetam apenas versões anteriores ao Cursor 3.0. O Cursor 3.0 saiu a 2 de abril de 2026. Já corrige ambas. Portanto, a correção chegou antes do relatório público.

A ação é pequena: atualiza o Cursor para a 3.0 ou mais recente. A maioria já lá está. Segundo a Cato AI Labs, não foram reportados ataques em circulação. É um caso de «aplica o patch e segue em frente», não uma crise. Se estás a ponderar ferramentas, a nossa comparação Cursor vs Claude Code e a nossa lista alternativas ao Cursor 2026 podem ajudar.

A cronologia da divulgação

Segundo a Cato AI Labs, o reporte teve várias fases:

  • 19 de fevereiro: a Cato reporta as falhas ao Cursor.
  • 23 de fevereiro: o Cursor rejeita o reporte ao início. O seu modelo de ameaça não contava o abuso de servidor MCP como um risco.
  • 26 de fevereiro: após a insistência da Cato, o Cursor reabre o caso.
  • Cursor 3.0: a correção chega nessa versão.

A lição é ampla. À medida que os agentes de IA leem mais conteúdo externo, as camadas MCP e web tornam-se parte da superfície de ataque. O nosso guia melhores assistentes de codificação IA 2026 cobre como as principais ferramentas lidam com isto.

O que os programadores devem fazer

Mantém simples. Abre o Cursor e verifica a tua versão. Se for inferior à 3.0, atualiza já. Se for 3.0 ou mais recente, já tens a correção. Trata os servidores MCP e as fontes web como qualquer entrada: úteis, mas nem sempre seguros. A Cato AI Labs encontrou as falhas, o Cursor corrigiu-as, e a ti só te resta manteres-te atualizado.

Foto: Pexels (source)

Também disponível em

FAQ

O que é o DuneSlide?
Segundo a Cato AI Labs, DuneSlide é a alcunha de duas falhas críticas do Cursor, CVE-2026-50548 e CVE-2026-50549, ambas com pontuação CVSS 9.8. A Cato divulgou-as a 1 de julho de 2026. Já estão corrigidas no Cursor 3.0.
Estou em risco?
Apenas se usares uma versão do Cursor anterior à 3.0. Segundo a Cato AI Labs, o Cursor 3.0 (lançado a 2 de abril de 2026) já corrige ambas as falhas. Atualiza para a 3.0 ou mais recente e ficas coberto. Não foi reportada exploração ativa.
Como funciona o ataque?
Segundo a Cato AI Labs, usa indirect prompt injection. O agente lê conteúdo não fiável, como um resultado de pesquisa web envenenado ou uma resposta de um servidor MCP. Instruções ocultas empurram então o agente a escapar do seu sandbox e a executar comandos. É zero-click.
O que devo fazer?
Atualiza o Cursor para a versão 3.0 ou mais recente. Segundo a Cato AI Labs, a maioria dos utilizadores já usa uma versão corrigida. Verifica a tua versão na aplicação e atualiza se for preciso.