首页 > 资讯 > 行业动态 > CursorIDE曝高危RCE漏洞,零点击提示注入可逃逸沙箱

CursorIDE曝高危RCE漏洞,零点击提示注入可逃逸沙箱

时间:2026-07-02 11:36:43 来源:51DNS.COM
分享 : 

全球大量企业在用的AI编程编辑器CursorIDE爆出编号DuneSlide的双重远程代码执行漏洞,对应CVE-2026-50548、CVE-2026-50549,两项漏洞CVSS评分均达9.8,属于最高危险等级,由CatoAI实验室完整披露。

Cursor2.x版本为降低开发者操作负担,默认允许AIAgent自动运行沙箱终端命令,无需用户手动确认。本次漏洞直接击穿内置沙箱防护,攻击者依靠提示注入就能完全控制本地设备,同时入侵绑定的云端SaaS工作区。攻击门槛极低,属于零点击触发,受害者仅加载含恶意内容的提示、网页搜索结果或MCP服务器数据,无需点击、授权等任何交互操作,风险覆盖个人开发者与企业研发团队。

RCE漏洞,零点注入

一、两大漏洞技术原理,双重路径实现沙箱逃逸

1、CVE-2026-50548:工作目录操纵漏洞

该漏洞根源在于run_terminal_cmd工具的工作目录参数完全交由LLM自主控制,未做严格路径校验。攻击者通过提示注入诱导AI,将命令执行目录改写至项目文件夹外部路径。

借助该缺陷,恶意指令可直接覆写系统关键文件,包括沙箱核心程序cursorsandbox、用户shell配置文件.zshrc、系统开机启动项LaunchAgents等。一旦沙箱程序被篡改,后续终端命令将彻底脱离沙箱隔离,实现无限制本地代码执行。

2、CVE-2026-50549:符号链接路径绕过漏洞

Cursor路径规范化逻辑存在缺陷,攻击者可在项目目录创建指向系统外部文件的软链接。当链接目标不存在或无读取权限时,程序会放弃路径校验,直接采信未过滤的原始链接地址。

该机制绕过文件越界写入检测,和目录操纵漏洞形成攻击链,同样可篡改沙箱二进制程序,两种漏洞独立生效,大幅提升攻击成功率。

 

二、攻击危害:提示注入突破AI安全边界

传统提示注入仅能篡改大模型输出内容,而DuneSlide漏洞将攻击链路延伸至底层系统代码,带来多重严重后果:

1、本地设备完全受控:覆写沙箱程序后,攻击者可读写本地全部文件,窃取代码、API密钥、账号凭证。

2、云端工作区沦陷:漏洞会横向渗透绑定的企业SaaS研发环境,造成代码仓库泄露、供应链污染。

3、无感知持久后门:修改系统启动配置文件,实现长期驻留,常规重启无法清除恶意程序。

4、批量企业风险:超半数财富500强企业使用CursorIDE,漏洞爆发易引发大规模开发环境沦陷。

安全研究者指出,仅依靠沙箱隔离无法抵御AI自主代理类攻击,参数校验、路径解析的细微漏洞,都会被提示注入无限放大。

 

三、行业警示:AI开发工具安全需架构级防护

本次漏洞事件暴露出当前AI编程工具普遍存在的安全短板,为开发者与厂商提供双重风险参考:

1、厂商侧:摒弃零散补丁,搭建完整防御体系

仅靠沙箱、简单参数过滤不足以抵御Agent攻击,需从架构层面限制AI自主执行权限,对终端路径、文件写入、符号链接增加多层校验,所有高危操作强制增加用户确认弹窗,关闭自动执行通道。

2、开发者侧:即时防护措施

(1)尽快升级CursorIDE至官方修复版本,关闭Agent自动运行终端命令功能。

(2)不加载来源不明的MCP服务器、第三方网页代码、开源项目。

(3)企业研发环境优先部署国产合规AI开发工具,降低境外IDE漏洞带来的数据泄露风险。

 

随着AIAgent深度介入代码编写、终端操作,AI开发工具已成为网络攻击新重点面。CursorIDEDuneSlide高危漏洞证明,AI产品不能为了便捷牺牲安全管控,透明、严格的权限校验、可审计的执行流程,才是规避提示注入、RCE漏洞的核心手段。各大安全实验室也将持续跟踪主流AI编程工具,持续披露相关高危缺陷。

在线咨询

联系我们

提示

根据《中华人民共和国网络安全法》及相关法律的规定,用户不提供真实身份信息的,网络运营者不得为其提供相关服务!
详情请查看《51DNS.COM账号实名认证公告
请未完成实名认证的用户尽快完善账户实名认证信息!
未通过实名认证的账户将无法进行正常操作,正在运行/已配置好的的产品服务不受影响,可正常生效。

去实名