Vad Cato fann i Cursor
Cato AI Labs har offentliggjort två kritiska sårbarheter i Cursor, den AI-kodeditor som tillverkaren säger används av mer än hälften av Fortune 500. De heter DuneSlide och är registrerade som CVE-2026-50548 och CVE-2026-50549, båda med ett CVSS-värde på 9,8 av 10, eller 9,3 på den nyare skalan 4.0. De är rättade i Cursor 3.0, utgiven den 2 april 2026, och varje äldre version är drabbad.
Ingen aktiv utnyttjande var registrerad vid offentliggörandet. Vägen till en rättning var inte slät. Cato anmälde problemet den 19 februari, tillverkaren avvisade det först den 23 februari, återöppnade det sedan, levererade en rättning den 1 april och den andra den 1 juni, och CVE-numren tilldelades den 5 juni.
Hur en webbsida blir ett kommando
Tekniken är promptinjektion utan ett enda klick. Utvecklaren skriver aldrig en skadlig order. Istället läser agenten innehåll å användarens vägnar: ett svar från en ansluten Model Context Protocol-server, en sida från en sökning eller en fil i projektet. Det innehållet bär dolda order som modellen sedan följer.
Den första bristen missbrukar parametern working_directory. När agenten sätter den till en icke-standardsökväg lägger Cursor den sökvägen till sin lista över tillåten skrivning utan kontroll, så att en injicerad instruktion kan skriva över en systemfil som sandlådehjälparen eller en shell-profil. Den andra bristen utnyttjar en symlänkskontroll som ger vika vid fel: kan Cursor inte lösa en genväg litar den på sökvägen inne i projektet och skriver rakt igenom till samma hjälpare. Skriv över den hjälparen och nästa kommando körs utanför sandlådan med utvecklarens fulla rättigheter.
Laslistan ar nu angreppsytan
Den obekväma förskjutningen gäller vad som räknas som indata. I åratal var hotbilden för en editor den kod du skrev och de tillägg du installerade. En autonom agent vidgar det till allt den läser av sig själv: en README från ett beroende, ett verktygssvar, en hämtad sida. Var och en av dem är nu körbar instruktion, och verkningsradien är operativsystemet snarare än en webbläsarflik.
För ett företag som rullat ut AI-assistenter till sina ingenjörer gör detta verktyget till en länk i leveranskedjan med räckvidd ända till maskinen, inte ett produktivitetstillägg. Under NIS2 i EU, genomförd i Sverige och följd av MSB och CERT-SE, är säkerheten i den mjukvara du ger personalen styrelsens ansvar, och en ouppdaterad agent som litar på okontrollerat innehåll faller precis under den plikten.
Vad agare bor gora denna vecka
Det omedelbara steget är versionshygien. Bekräfta att varje utvecklare är på Cursor 3.0 eller senare, för inget dessförinnan är säkert, och ställ samma fråga för varje annan agent-editor eller IDE-assistent i bruk. Klargör vilka AI-verktyg som självständigt får skriva filer eller köra kommandon, och vem som godkände det.
Det varaktiga steget är att behandla en agents läskällor som opålitliga som standard. Begränsa vilka Model Context Protocol-servrar ett team får ansluta, håll agenter borta från ogranskat externt innehåll där du kan, och kräv mänskligt godkännande för skrivningar utanför arbetsprojektet. Verktyget är värt att behålla; rättigheterna runt det kräver nu samma disciplin som du redan tillämpar på varje komponent som kan röra en körande maskin.
Läs vidare: Jailbreak-risk får nu ett allvarsbetyg · Din AI-agent litar pa ett forgiftat verktyg



