Hvad Cato fandt i Cursor

Cato AI Labs har offentliggjort to kritiske sårbarheder i Cursor, den AI-kodeeditor som producenten siger bruges af mere end halvdelen af Fortune 500. De hedder DuneSlide og er registreret som CVE-2026-50548 og CVE-2026-50549, begge med en CVSS-score på 9,8 ud af 10, eller 9,3 på den nyere skala 4.0. De er rettet i Cursor 3.0, udgivet den 2. april 2026, og enhver ældre version er ramt.

Der var ingen aktiv udnyttelse registreret ved offentliggørelsen. Vejen til en rettelse var ikke glat. Cato meldte problemet den 19. februar, producenten afviste det først den 23. februar, genåbnede det derefter, leverede en rettelse den 1. april og den anden den 1. juni, og CVE-numrene blev tildelt den 5. juni.

Hvordan en webside bliver en kommando

Teknikken er prompt-injektion uden et eneste klik. Udvikleren skriver aldrig en skadelig ordre. I stedet læser agenten indhold på brugerens vegne: et svar fra en tilsluttet Model Context Protocol-server, en side fra en søgning eller en fil i projektet. Det indhold bærer skjulte ordrer, som modellen derefter følger.

Den første fejl misbruger parameteren working_directory. Når agenten sætter den til en ikke-standard sti, tilføjer Cursor den sti til sin liste over tilladt skrivning uden at tjekke, så en injiceret instruktion kan overskrive en systemfil som sandkasse-hjaelperen eller en shell-profil. Den anden fejl udnytter et symlink-tjek, der giver efter ved fejl: kan Cursor ikke opløse en genvej, stoler den på stien inde i projektet og skriver lige igennem til den samme hjaelper. Overskriv den hjaelper, og den næste kommando kører uden for sandkassen med udviklerens fulde rettigheder.

Laeselisten er nu angrebsfladen

Den ubehagelige forskydning handler om, hvad der tæller som input. I årevis var truslen mod en editor den kode, du skrev, og de udvidelser, du installerede. En autonom agent udvider det til alt, hvad den læser af sig selv: en afhængigheds README, et vaerktoejssvar, en hentet side. Hver af dem er nu udførbar instruktion, og virkningsradius er styresystemet snarere end en browserfane.

For en virksomhed, der har rullet AI-assistenter ud til sine ingeniører, gør det vaerktoejet til et led i forsyningskaeden med rækkevidde helt til maskinen, ikke et produktivitetsplugin. Under NIS2 i EU, gennemført i Danmark og fulgt af Center for Cybersikkerhed, er sikkerheden i den software, du giver medarbejderne, ledelsens ansvar, og en uopdateret agent, der stoler på ukontrolleret indhold, falder lige ind under den pligt.

Hvad ejere boer goere i denne uge

Det øjeblikkelige skridt er versionshygiejne. Bekræft at hver udvikler er på Cursor 3.0 eller nyere, for intet før den er sikkert, og stil samme spørgsmål for enhver anden agent-editor eller IDE-assistent i brug. Afklar hvilke AI-vaerktoejer der selvstændigt må skrive filer eller køre kommandoer, og hvem der godkendte det.

Det varige skridt er at behandle en agents laesekilder som upålidelige som udgangspunkt. Begræns hvilke Model Context Protocol-servere et team må tilslutte, hold agenter væk fra ukontrolleret eksternt indhold hvor du kan, og kræv menneskelig godkendelse for skrivninger uden for arbejdsprojektet. Vaerktoejet er værd at beholde; rettighederne omkring det kræver nu samme disciplin, som du allerede bruger på enhver komponent, der kan røre en kørende maskine.