Cato AI Labs har fundet to kritiske sårbarheder i Cursor IDE.
Sårbarhederne kunne bruges til at bryde ud af værktøjets sandbox og få kode til at køre direkte på udviklerens maskine.
Cursor er et AI-værktøj til softwareudviklere, som kan hjælpe med at skrive og ændre kode direkte i udviklingsmiljøet.
Nu har Cato AI Labs fundet to kritiske sårbarheder i Cursor IDE. De kunne give hackere mulighed for at omgå Cursors sandbox og få adgang til udviklerens computer.
Cursor oplyser selv, at værktøjet bruges af mere end halvdelen af Fortune 500-virksomhederne.
Angrebet sker via såkaldt zero-click prompt injection. Det betyder, at brugeren ikke behøver at klikke på et link, downloade en fil eller aktivt godkende skadelig kode.
I stedet kan angrebet udløses, når Cursor-agenten arbejder med indhold fra en ekstern kilde. Det kan for eksempel være en MCP-server, som forbinder AI-værktøjet med andre systemer, eller et manipuleret søgeresultat.
Hvis indholdet er styret af en hacker, kan AI-agenten narres til at skrive filer på udviklerens computer. Dermed kan den omgå den sandbox, der normalt skal holde agentens kommandoer adskilt fra resten af systemet.
Sandboxen kunne omgås
Cursor 2.x kunne som standard køre terminalkommandoer automatisk i en sandbox. Funktionen skulle mindske behovet for manuelle godkendelser og samtidig forhindre, at en prompt injection blev til et egentligt systemangreb.
Cato AI Labs’ fund viser, at den beskyttelse kunne omgås.
Den første sårbarhed handlede om den mappe, hvor Cursor-agenten udfører kommandoer. Normalt bør agenten være begrænset til projektets egen mappe. Men Cato AI Labs fandt, at agenten kunne manipuleres til at bruge en anden arbejdsmappe og dermed få skriverettigheder uden for det område, den burde være låst til.
Den anden sårbarhed handlede om symboliske links. Her kunne Cursor i særlige tilfælde narres til at tro, at en fil lå inden for projektmappen, selv om den reelt pegede på en fil uden for projektet.
I begge tilfælde kunne hackere få AI-agenten til at skrive til filer, den normalt ikke burde have adgang til. Det kunne blandt andet bruges til at overskrive centrale filer i Cursor-miljøet og neutralisere sandboxen.
Resultatet var remote code execution, altså at hackere kunne få kode til at køre direkte på udviklerens computer. Ifølge Cato AI Labs kunne det føre til fuld kompromittering af både selve computeren og tilknyttede SaaS-workspaces.
Ikke kun et problem i Cursor
Fundet handler derfor ikke kun om Cursor.
AI-kodeværktøjer får adgang til filer, projektmapper, terminaler og eksterne systemer. Derfor kan prompt injection få større konsekvenser end et forkert eller manipuleret svar fra en AI-model.
Når en AI-agent kan handle på brugerens maskine, bliver spørgsmålet ikke kun, om den kan narres. Spørgsmålet er også, hvad den har adgang til, hvis det sker.
Rettet i Cursor 3.0
Cato AI Labs rapporterede sårbarhederne til Cursor den 19. februar som led i en responsible disclosure-proces.
Ifølge Cato AI Labs blev sårbarhederne først afvist den 23. februar, fordi Cursor ikke mente, at misbrug af MCP-servere var en del af værktøjets trusselsmodel.
Efter en eskalering til Cursors sikkerhedsteam den 26. februar blev sårbarhederne genåbnet og undersøgt.
Cursor har siden rettet problemerne i Cursor 3.0. Den første rettelse blev ifølge Cato AI Labs bekræftet til Cursor 3.0 den 1. april. Den anden blev bekræftet den 1. juni.
Sårbarhederne er registreret som kendte sikkerhedshuller med de globale CVE-id’er CVE-2026-50548 og CVE-2026-50549. Cato AI Labs omtaler dem samlet som DuneSlide.
Om Cato Networks
Cato Networks er en cybersikkerhedsvirksomhed med danske kunder, blandt andre Carlsberg og Flügger. Cato samler netværk og sikkerhed i én cloudbaseret platform, der beskytter medarbejdere, systemer og data på tværs af kontorer, cloud og hjemmearbejdspladser.








