Die Schwachstelle betrifft Cursor, einen für die KI-gestützte Programmierung entwickelten Code-Editor. Sie ermöglicht ein Ausbrechen aus der Sandbox, indem in die Git-Konfiguration eines Projekts geschrieben wird. Konkret konnte ein bösartig gesteuerter KI-Agent – etwa durch eine Prompt-Injection – unzureichend geschützte .git-Einstellungen verändern, darunter auch Git-Hooks. Solche Hooks sind Skripte, die Git bei bestimmten Aktionen automatisch ausführt. Da Git diese Befehle selbsttätig startet, wird die eingeschleuste Konfiguration beim nächsten Auslösen des jeweiligen Hooks ausgeführt – und zwar außerhalb der Sandbox, wodurch sich beliebiger Code auf dem System ausführen lässt (Remote Code Execution). Besonders heikel ist, dass dafür keinerlei Benutzerinteraktion erforderlich ist: Es genügt, dass der manipulierte Hook durch einen regulären Git-Vorgang angestoßen wird. Damit kann ein über die KI-Funktion eingeschleuster Angreifer die isolierende Wirkung der Sandbox umgehen und die Kontrolle über die Arbeitsumgebung erlangen.