事件经过
Cato AI Labs于2026年7月1日披露了"DuneSlide":Cursor IDE终端沙箱中的两个严重RCE漏洞 (CVE-2026-50548, CVSS 9.8; CVE-2026-50549, CVSS 9.3)。两个缺陷都允许隐藏在代理仅读取的内容中的零点击提示注入逃逸沙箱并在主机上执行任意命令。Cato于2026年2月19日私下报告了这些缺陷;Cursor最初拒绝了它们,随后在4月2日的3.0版本中修复了两个缺陷。CVE ID于2026年6月5日分配,并于2026年7月1日公开披露。在披露前未确认野外利用。Cato表示正在披露其他流行编码代理中的类似结构缺陷。
影响分析
Cursor等AI编码代理在设计用来防止未授权操作系统访问的沙箱内自主执行终端命令。DuneSlide证明了当代理本身可以设置沙箱无验证信任的执行参数(工作目录、符号链接目标)时,沙箱隔离是不充分的。单个被毒化的MCP工具响应或网络搜索结果足以使沙箱失效并以开发者身份运行任何命令——包括窃取会话中存在的云凭证、SSH密钥和SaaS令牌。因为攻击不需要点击或批准,标准社会工程防御被完全绕过。
攻击途径
攻击者将提示注入指令植入AI代理代表用户读取的内容中(例如被毒化的MCP服务器响应或网络搜索结果)。CVE-2026-50548滥用Cursor的run_terminal_cmd工具的LLM可控制working_directory参数,将写入重定向到项目沙箱外,覆盖cursorsandbox辅助二进制文件。CVE-2026-50549利用Cursor符号链接规范化中的回退:当路径解析失败(目标缺失或读取访问被剥离)时,Cursor信任未验证的符号链接路径,让攻击者创建的符号链接到达同一沙箱二进制文件。任一链都会使沙箱失效并在开发者机器上实现完整未沙箱化RCE,零用户点击。
受影响系统
Cursor IDE (anysphere/cursor) < 3.0
缓解措施
将Cursor IDE更新到3.0版本或更高版本(2026年4月2日修补)。限制AI代理对不受信任的外部数据源的访问;将每个MCP连接的服务和网络搜索结果视为攻击者控制的输入。