Co Cato znalazlo w Cursorze
Cato AI Labs ujawniło dwie krytyczne podatności w Cursorze, edytorze kodu z AI, który według producenta jest używany przez ponad połowę firm z listy Fortune 500. Nazwane DuneSlide i oznaczone jako CVE-2026-50548 oraz CVE-2026-50549, obie mają wynik CVSS 9,8 na 10, lub 9,3 w nowszej skali 4.0. Są naprawione w Cursorze 3.0, wydanym 2 kwietnia 2026 roku, a każda wcześniejsza wersja jest podatna.
W chwili ujawnienia nie odnotowano aktywnego wykorzystania. Droga do poprawki nie była gładka. Cato zgłosiło problem 19 lutego, producent najpierw odrzucił go 23 lutego, potem ponownie otworzył sprawę, dostarczył jedną poprawkę 1 kwietnia i drugą 1 czerwca, a numery CVE przydzielono 5 czerwca.
Jak strona internetowa staje sie poleceniem
Techniką jest wstrzyknięcie instrukcji bez żadnego kliknięcia. Programista nigdy nie wpisuje złośliwego polecenia. Zamiast tego agent czyta treść w imieniu użytkownika: odpowiedź z podłączonego serwera Model Context Protocol, stronę zwróconą przez wyszukiwanie lub plik w projekcie. Ta treść niesie ukryte polecenia, które model następnie wykonuje.
Pierwsza luka nadużywa parametru working_directory. Gdy agent ustawia go na ścieżkę inną niż domyślna, Cursor dodaje tę ścieżkę do listy dozwolonego zapisu bez sprawdzenia, więc wstrzyknięta instrukcja może nadpisać plik systemowy, taki jak binarny pomocnik piaskownicy lub profil powłoki. Druga luka wykorzystuje sprawdzanie dowiązań symbolicznych, które ustępuje przy błędzie: gdy Cursor nie może rozwiązać skrótu, ufa ścieżce wewnątrz projektu i pisze prosto do tego samego pomocnika. Nadpisz tego pomocnika, a kolejne polecenie działa poza piaskownicą z pełnymi prawami programisty.
Lista lektur jest teraz powierzchnia ataku
Niewygodne przesunięcie dotyczy tego, co liczy się jako dane wejściowe. Przez lata modelem zagrożeń edytora był kod, który pisałeś, i rozszerzenia, które instalowałeś. Autonomiczny agent rozszerza to na wszystko, co czyta sam z siebie: plik README zależności, odpowiedź narzędzia, pobraną stronę. Każde z nich jest teraz wykonywalną instrukcją, a promień rażenia to system operacyjny, a nie karta przeglądarki.
Dla firmy, która wdrożyła asystentów AI wśród swoich inżynierów, czyni to z narzędzia element łańcucha dostaw z zasięgiem aż do maszyny, a nie wtyczkę do produktywności. W ramach NIS2 w UE, wdrożonej w Polsce i wspieranej przez CERT Polska w NASK, bezpieczeństwo oprogramowania, które dajesz pracownikom, jest odpowiedzialnością zarządu, a niezałatany agent, który ufa niesprawdzonej treści, mieści się dokładnie w tym obowiązku.
Co wlasciciele powinni zrobic w tym tygodniu
Natychmiastowym krokiem jest higiena wersji. Potwierdź, że każdy programista jest na Cursorze 3.0 lub nowszym, bo nic wcześniejszego nie jest bezpieczne, i zadaj to samo pytanie dla każdego innego edytora z agentem lub asystenta IDE w użyciu. Ustal, które narzędzia AI mają samodzielne uprawnienie do zapisu plików lub uruchamiania poleceń, i kto to zatwierdził.
Trwałym krokiem jest traktowanie źródeł czytanych przez agenta jako domyślnie niezaufanych. Ogranicz, które serwery Model Context Protocol zespół może podłączać, trzymaj agentów z dala od niesprawdzonej treści zewnętrznej, gdzie to możliwe, i wymagaj ludzkiej zgody na zapisy poza projektem roboczym. Narzędzie warto zachować; uprawnienia wokół niego wymagają teraz tej samej dyscypliny, którą już stosujesz wobec każdego składnika mogącego dotknąć działającej maszyny.
Czytaj dalej: Ryzyko jailbreaku ma teraz ocene wagi · Twój agent AI ufa zatrutemu narzędziu



