Die Schwachstelle betrifft den KI-gestützten Code-Editor Cursor, genauer dessen Auto-Run-Modus mit aktivierter Allowlist. In dieser Betriebsart soll der KI-Agent Shell-Befehle nur dann ohne Rückfrage ausführen dürfen, wenn sie auf einer ausdrücklich freigegebenen Liste stehen. Der Fehler besteht darin, dass bestimmte in die Shell eingebaute Befehle (Shell-Built-ins) diese Kontrolle umgehen: Sie lassen sich ausführen, ohne in der Allowlist aufzutauchen und ohne dass der Nutzer zustimmen muss. Ein Angreifer kann dies über eine direkte oder indirekte Prompt-Injection ausnutzen – also über manipulierte Anweisungen, die dem Agenten etwa über verarbeitete Inhalte untergeschoben werden. Dadurch kann er die Shell-Umgebung vergiften, indem er Umgebungsvariablen setzt, verändert oder entfernt. Da solche Variablen das Verhalten anschließend ausgeführter, eigentlich vertrauenswürdiger Befehle steuern, lässt sich deren Wirkung verfälschen, obwohl der eigentliche Allowlist-Schutz scheinbar greift.