Wat Cato in Cursor vond

Cato AI Labs heeft twee kritieke kwetsbaarheden in Cursor bekendgemaakt, de AI-code-editor die volgens de maker door meer dan de helft van de Fortune 500 wordt gebruikt. Ze heten DuneSlide en staan geregistreerd als CVE-2026-50548 en CVE-2026-50549, beide met een CVSS-score van 9,8 op 10, of 9,3 op de nieuwere schaal 4.0. Ze zijn verholpen in Cursor 3.0, uitgebracht op 2 april 2026, en elke oudere versie is getroffen.

Er was geen actief misbruik vastgesteld op het moment van de melding. De weg naar een fix verliep niet soepel. Cato meldde het probleem op 19 februari, de leverancier wees het eerst af op 23 februari, heropende het daarna, leverde een fix op 1 april en de tweede op 1 juni, en de CVE-nummers werden toegewezen op 5 juni.

Hoe een webpagina een commando wordt

De techniek is promptinjectie zonder klik. De ontwikkelaar typt nooit een kwaadaardige opdracht. In plaats daarvan leest de agent inhoud namens de gebruiker: een antwoord van een gekoppelde Model Context Protocol-server, een pagina die een zoekopdracht teruggaf of een bestand in het project. Die inhoud draagt verborgen opdrachten die het model daarna opvolgt.

De eerste fout misbruikt de parameter working_directory. Zet de agent die op een niet-standaard pad, dan voegt Cursor dat pad zonder controle toe aan de lijst met toegestane schrijfacties, zodat een geinjecteerde instructie een systeembestand kan overschrijven zoals de sandbox-helper of een shell-profiel. De tweede fout benut een symlink-controle die bij een fout meegeeft: kan Cursor een snelkoppeling niet oplossen, dan vertrouwt het het pad binnen het project en schrijft rechtstreeks door naar dezelfde helper. Overschrijf die helper en het volgende commando draait buiten de sandbox met alle rechten van de ontwikkelaar.

De leeslijst is nu het aanvalsvlak

De ongemakkelijke verschuiving gaat over wat als invoer telt. Jarenlang was het dreigingsmodel van een editor de code die je schreef en de extensies die je installeerde. Een autonome agent verbreedt dat tot alles wat hij uit zichzelf leest: de README van een afhankelijkheid, een gereedschapsantwoord, een opgehaalde pagina. Elk daarvan is nu uitvoerbare instructie, en de impactstraal is het besturingssysteem in plaats van een browsertabblad.

Voor een bedrijf dat AI-assistenten onder zijn ingenieurs uitrolde, maakt dit het gereedschap tot een schakel in de toeleveringsketen met bereik tot op de machine, geen productiviteitsplugin. Onder NIS2 in de EU, in Nederland uitgevoerd en begeleid door het NCSC, is de veiligheid van de software die je aan personeel geeft een verantwoordelijkheid van het bestuur, en een ongepatchte agent die niet-gecontroleerde inhoud vertrouwt valt daar precies onder.

Wat eigenaren deze week moeten doen

De directe stap is versiehygiene. Bevestig dat elke ontwikkelaar op Cursor 3.0 of nieuwer zit, want niets daarvoor is veilig, en stel dezelfde vraag voor elke andere agent-editor of IDE-assistent in gebruik. Stel vast welke AI-gereedschappen zelfstandig bestanden mogen schrijven of commando's mogen draaien, en wie dat heeft goedgekeurd.

De duurzame stap is de leesbronnen van een agent standaard als onbetrouwbaar te behandelen. Beperk welke Model Context Protocol-servers een team mag koppelen, houd agenten waar mogelijk weg van ongecontroleerde externe inhoud en eis menselijke goedkeuring voor schrijfacties buiten het werkproject. Het gereedschap is het behouden waard; de rechten eromheen vragen nu dezelfde discipline die je al toepast op elk onderdeel dat een draaiende machine kan raken.