Auf den Punkt: Logische Fehler in Cursors Sandbox-Isolation ermöglichen Prompt-Injection-Angreifern Remote Code Execution ohne Benutzeraktion; Patches stehen seit April zur Verfügung.
Forscher haben zwei kritische Sicherheitslücken in der weit verbreiteten KI-gestützten IDE Cursor entdeckt, die über Prompt Injection zu Remote Code Execution führen. Die Lücken ermöglichen Angreifern, die Sandbox-Isolation zu umgehen, die AI-Agenten von gefährlichen Systemzugriffen abhalten soll.
Die beiden Schwachstellen CVE-2026-50548 und CVE-2026-50549 erlauben es Angreifern, aus der Kommandoausführungs-Sandbox von Cursor auszubrechen. Das Sicherheitsforschungsteam von Cato Networks, das die Lücken entdeckte, betont: „Der Exploit erfordert keine vorherigen Benutzerrechte oder spezifische Benutzerinteraktion.“ Stattdessen wird er ausgelöst, wenn ein Anwender eine harmlose Eingabe macht, die unbeabsichtigt eine von Angreifern kontrollierte Payload aus einer nicht vertrauenswürdigen Quelle – etwa einem MCP-Server oder einem Web-Suchergebnis – aufnimmt.
Das Problem liegt in zwei logischen Mängeln der Isolationsebene: Erstens unterstützt das Tool `run_terminal_cmd` einen Parameter `working_directory`, mit dem der Standardpfad programmgesteuert überschrieben werden kann. Durch Prompt Injection könnte ein Angreifer die LLM dazu bringen, dieses Verzeichnis auf einen Pfad außerhalb des Projektverzeichnisses zu setzen – und so Dateien wie die `cursorsandbox`-Ausführungsdatei zu überschreiben oder Schadcode in Shell-Konfigurationsdateien oder System-Autostart-Ordner zu schreiben. Zweitens gelang es den Forschern zu zeigen, dass der Cursor-Agent dazu gebracht werden kann, symbolische Links (Symlinks) zu erstellen, die außerhalb des Projektverzeichnisses auf Dateien verweisen. Die Canonicalization-Logik, die diese Links auflösen soll, enthält einen gefährlichen Fallback, der die Überprüfung untergräbt.
Cursor ist nach der kürzlichen Übernahme durch SpaceX für 60 Milliarden Dollar in Aktien zu einem der dominantesten KI-gestützten Entwicklungswerkzeuge im Enterprise-Bereich aufgestiegen. Die Sicherheitslücken wurden bereits in Version 3.0 von Cursor behoben, die im April veröffentlicht wurde. Die Anfälligkeit unterstreicht ein grundlegendes Dilemma: Large Language Models sind von Natur aus anfällig für in ihren Input eingestreute Malware-Instruktionen – besonders kritisch in agentic-KI-Szenarien, wo LLMs mit Browsern, APIs und Zugriff auf Web-Inhalte, Code-Repositories, Emails und Benutzer-Dokumente verbunden sind.
Der Schutz vor Prompt Injection erfordert typischerweise mehrstufige Ansätze: Guardrails auf Modell-Ebene, Systemanweisungen zur Behandlung von Inhalten als passive Daten, Supervisor-Modelle, Keyword-Filterung, Kontext-Segmentierung, granulare Zugriffskontrolle und manuelle Genehmigungen. Eine häufig eingesetzte Lösung ist die Ausführung autonomer Workflows in Containern oder Sandboxen – genau das, das Cursor implementiert hatte. Dass diese Isolierung mit verhältnismäßig einfachen Mitteln umgangen werden konnte, zeigt, wie wichtig kontinuierliche Sicherheitsüberprüfungen von agentic-Tools sind.
Quelle: www.csoonline.com · Erschienen 2. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.