A Cato AI Labs divulgou duas falhas críticas no Cursor, o editor de código com IA. O par tem a alcunha DuneSlide. Segundo a Cato AI Labs, ambas têm uma pontuação CVSS crítica de 9.8. Primeiro a boa notícia: já estão corrigidas no Cursor 3.0. Para o panorama mais amplo de segurança, ajudam o nosso guia o Cursor AI é seguro e a nossa visão geral segurança de agentes de IA.
O que a Cato AI Labs encontrou
Segundo a Cato AI Labs, os seus investigadores encontraram duas falhas no Cursor. A Cato deu ao par o nome DuneSlide. As falhas receberam dois identificadores: CVE-2026-50548 e CVE-2026-50549. Ambas têm uma pontuação CVSS crítica de 9.8, a faixa mais alta. A Cato AI Labs partilhou os detalhes a 1 de julho de 2026.
A Cato também nota a extensão do uso do Cursor. Segundo a Cato AI Labs, mais de metade da Fortune 500 usa-o. Uma falha aqui chega, portanto, a muitas equipas.
Como funciona o ataque DuneSlide
Segundo a Cato AI Labs, o ataque parte de uma indirect prompt injection. A ideia é simples. Escreves um prompt normal e inofensivo. O agente de IA lê depois conteúdo externo para te ajudar. Esse conteúdo pode ser um resultado de pesquisa web ou uma resposta de um servidor MCP. Se um atacante controlar esse conteúdo, pode esconder ordens lá dentro.
O agente lê essas ordens ocultas. Trata-as como o teu pedido. Segundo a Cato AI Labs, isto permite ao agente escapar do seu sandbox. O sandbox é a caixa segura que mantém o agente longe do resto da tua máquina. Uma vez fora, o agente pode executar comandos no teu computador. As equipas de segurança chamam a isto RCE, sigla de remote code execution.
Um detalhe importa. Segundo a Cato AI Labs, o ataque é zero-click. Não clicas em nenhum link armadilhado. Apenas lanças um prompt normal que, por acaso, aspira o conteúdo envenenado.

As duas falhas em termos simples
Segundo a Cato AI Labs, cada CVE usa um truque diferente.
- CVE-2026-50548: o prompt oculto diz ao agente para definir o seu working_directory fora da pasta do projeto. Isso permite-lhe escrever em locais sensíveis, como o helper cursorsandbox. Escrever aí desliga o sandbox.
- CVE-2026-50549: o prompt oculto cria um symlink dentro do projeto. Um symlink é um atalho que aponta para outro ficheiro. Aqui aponta para um ficheiro fora do projeto. O Cursor executa uma verificação para limpar o caminho. Segundo a Cato AI Labs, quando essa verificação falha, o agente recai no caminho bruto do symlink, que nunca é validado.
Ambos os truques acabam da mesma forma. O agente deixa a sua caixa segura e age nos termos do atacante.
O ponto-chave: já corrigido no Cursor 3.0
Aqui está a parte que deve acalmar-te. Segundo a Cato AI Labs, ambas as falhas afetam apenas versões anteriores ao Cursor 3.0. O Cursor 3.0 saiu a 2 de abril de 2026. Já corrige ambas. Portanto, a correção chegou antes do relatório público.
A ação é pequena: atualiza o Cursor para a 3.0 ou mais recente. A maioria já lá está. Segundo a Cato AI Labs, não foram reportados ataques em circulação. É um caso de «aplica o patch e segue em frente», não uma crise. Se estás a ponderar ferramentas, a nossa comparação Cursor vs Claude Code e a nossa lista alternativas ao Cursor 2026 podem ajudar.
A cronologia da divulgação
Segundo a Cato AI Labs, o reporte teve várias fases:
- 19 de fevereiro: a Cato reporta as falhas ao Cursor.
- 23 de fevereiro: o Cursor rejeita o reporte ao início. O seu modelo de ameaça não contava o abuso de servidor MCP como um risco.
- 26 de fevereiro: após a insistência da Cato, o Cursor reabre o caso.
- Cursor 3.0: a correção chega nessa versão.
A lição é ampla. À medida que os agentes de IA leem mais conteúdo externo, as camadas MCP e web tornam-se parte da superfície de ataque. O nosso guia melhores assistentes de codificação IA 2026 cobre como as principais ferramentas lidam com isto.
O que os programadores devem fazer
Mantém simples. Abre o Cursor e verifica a tua versão. Se for inferior à 3.0, atualiza já. Se for 3.0 ou mais recente, já tens a correção. Trata os servidores MCP e as fontes web como qualquer entrada: úteis, mas nem sempre seguros. A Cato AI Labs encontrou as falhas, o Cursor corrigiu-as, e a ti só te resta manteres-te atualizado.



