Que encontro Cato en Cursor
Cato AI Labs ha revelado dos vulnerabilidades críticas en Cursor, el editor de código con IA que, según su fabricante, usa más de la mitad de las Fortune 500. Bautizadas como DuneSlide y registradas como CVE-2026-50548 y CVE-2026-50549, ambas tienen una puntuación CVSS de 9,8 sobre 10, o 9,3 en la escala más reciente 4.0. Se corrigen en Cursor 3.0, publicado el 2 de abril de 2026, y toda versión anterior está afectada.
No se registró explotación activa en el momento de la divulgación. El camino hacia la corrección no fue liso. Cato informó del problema el 19 de febrero, el fabricante lo rechazó primero el 23 de febrero, luego lo reabrió, entregó una corrección el 1 de abril y la segunda el 1 de junio, y los números CVE se asignaron el 5 de junio.
Como una pagina web se vuelve un comando
La técnica es inyección de instrucciones sin ningún clic. El desarrollador nunca escribe una orden maliciosa. En su lugar, el agente lee contenido en nombre del usuario: una respuesta de un servidor Model Context Protocol conectado, una página devuelta por una búsqueda o un archivo dentro del proyecto. Ese contenido lleva órdenes ocultas que el modelo después obedece.
El primer fallo abusa del parámetro working_directory. Cuando el agente lo fija en una ruta distinta de la habitual, Cursor añade esa ruta a su lista de escritura permitida sin comprobarla, de modo que una instrucción inyectada puede sobrescribir un archivo del sistema como el binario ayudante del entorno aislado o un perfil de shell. El segundo fallo aprovecha una comprobación de enlaces simbólicos que cede ante el error: cuando Cursor no logra resolver un acceso directo, confía en la ruta dentro del proyecto y escribe directamente sobre el mismo ayudante. Sobrescribe ese ayudante y el siguiente comando corre fuera del aislamiento con todos los derechos del desarrollador.
La lista de lectura es ahora la superficie de ataque
El cambio incómodo es qué cuenta como entrada. Durante años el modelo de amenaza de un editor era el código que escribías y las extensiones que instalabas. Un agente autónomo lo amplía a todo lo que lee por su cuenta: el README de una dependencia, una respuesta de herramienta, una página descargada. Cada una de esas cosas es ahora instrucción ejecutable, y el radio de impacto es el sistema operativo en lugar de una pestaña del navegador.
Para una empresa que ha desplegado asistentes de IA entre sus ingenieros, esto convierte la herramienta en un componente de la cadena de suministro con alcance hasta la máquina, no en un accesorio de productividad. Bajo NIS2 en la UE, transpuesta en España y acompañada por el INCIBE, la seguridad del software que repartes al personal es responsabilidad del consejo, y un agente sin parchear que confía en contenido no verificado entra justo en ese deber.
Que deberian hacer los duenos esta semana
El paso inmediato es la higiene de versiones. Confirma que cada desarrollador está en Cursor 3.0 o posterior, porque nada anterior es seguro, y haz la misma pregunta para cualquier otro editor con agente o asistente de IDE en uso. Aclara qué herramientas de IA tienen permiso autónomo para escribir archivos o ejecutar comandos, y quién lo aprobó.
El paso duradero es tratar las fuentes de lectura de un agente como no fiables por defecto. Limita qué servidores Model Context Protocol puede conectar un equipo, mantén a los agentes lejos de contenido externo sin revisar cuando puedas y exige aprobación humana para las escrituras fuera del proyecto de trabajo. La herramienta merece conservarse; los permisos a su alrededor necesitan ahora la misma disciplina que ya aplicas a cualquier componente capaz de tocar una máquina en producción.
Leer a continuación: El riesgo de jailbreak ya tiene una nota de gravedad · Tu agente confía en una herramienta dañada



