Cato AI Labs hat das Schwachstellenpaar unter dem Namen DuneSlide veröffentlicht. Beide Lücken zielen auf den Sandbox-Mechanismus, den Cursor seit der 2.x-Reihe standardmäßig für Terminal-Befehle seines KI-Agenten verwendet. Diese Sandbox soll verhindern, dass vom Agenten erzeugte Kommandos unkontrolliert auf das System zugreifen und Schaden anrichten.

Genau diesen Schutz umgehen die beiden Fehler. Laut Cato basieren beide auf demselben Prinzip: Der Agent wird dazu gebracht, eine Datei zu schreiben, die er eigentlich nicht schreiben dürfen sollte. Dieser Schreibvorgang wird dann genutzt, um die Sandbox abzuschalten. Ist der Schutz neutralisiert, läuft der nächste Befehl mit den Rechten des Nutzers.

Der Einstieg erfolgt über Prompt-Injection. Nach Darstellung von Cato tippt der Angreifer nichts in den Editor des Opfers ein. Stattdessen platziert er versteckte Anweisungen in einer Quelle, die der Cursor-Agent für den Nutzer ausliest, etwa in einem verbundenen Dienst über das Model Context Protocol oder auf einer per Websuche gefundenen Seite. Der Nutzer stellt eine gewöhnliche Anfrage, die versteckten Instruktionen werden mitverarbeitet, und weil dafür weder ein Klick noch eine Bestätigung nötig ist, stuft Cato den Angriff als Zero-Click ein.

Die Folgen beschreibt Cato deutlich: Nach dem Ausbruch aus der Sandbox könne der folgende Befehl als Nutzer ausgeführt werden. Das betreffe nicht nur den Entwicklerrechner, sondern auch Cloud- oder SaaS-Arbeitsbereiche, in denen der Editor angemeldet ist. All das könne aus einer einzelnen, unauffälligen Eingabe heraus entstehen.

Hinweise auf tatsächliche Angriffe gibt es bislang nicht. Cato präsentiert DuneSlide ausdrücklich als Forschungsergebnis, nicht als laufende Kampagne. Auch der öffentliche Schwachstelleneintrag weist zum Zeitpunkt der Veröffentlichung laut Quelltext keine bekannte Ausnutzung aus.

Zeitlich verlief die Offenlegung laut Cato nicht geradlinig. Die Forscher meldeten beide Probleme am 19. Februar. Vier Tage später habe Cursor die Meldungen zunächst zurückgewiesen mit der Begründung, das Bedrohungsmodell umfasse keinen Missbrauch von MCP-Servern, auch nicht von Standarddiensten wie dem offiziellen Linear-Arbeitsbereich. Nach einer Eskalation am 26. Februar habe Cursor die Berichte wieder geöffnet, priorisiert und die Korrekturen schließlich in Version 3.0 ausgeliefert. Die CVE-Nummern wurden am 5. Juni vergeben.

Cursor hat für den Symlink-Fehler eine eigene Sicherheitswarnung veröffentlicht; auch der NVD-Eintrag ist bereits verfügbar. Die jetzt geschlossenen Lücken stehen laut Quelltext in einer Reihe früherer Cursor-Probleme, die ebenfalls mit vergifteten Prompts begannen und in Codeausführung endeten, wobei jeweils andere Schutzmechanismen umgangen wurden. Cato kündigt zudem ähnliche Offenlegungen zu anderen Coding-Agenten an und wertet das Thema als strukturelles Problem, nicht als Folge isolierter Einzelfehler.