Zwei neu entdeckte Sicherheitslücken in der KI-gestützten Entwicklungsumgebung Cursor könnten weitreichende Folgen für Entwickler und Unternehmen haben.
Nach Angaben von Cato AI Labs ermöglichen die Schwachstellen unter bestimmten Voraussetzungen die Ausführung von Schadcode außerhalb der vorgesehenen Sicherheitsumgebung. Betroffen ist die Cursor IDE, die laut Hersteller auch in zahlreichen Großunternehmen eingesetzt wird.
Angriff über KI-Eingaben möglich
Die beiden als „DuneSlide“ bezeichneten Schwachstellen tragen die Kennungen CVE-2026-50548 und CVE-2026-50549. Sie zeigen nach Einschätzung der Sicherheitsforscher, dass sogenannte Prompt-Injection-Angriffe nicht nur Sprachmodelle beeinflussen können, sondern auch klassische Software-Schwachstellen ausnutzen.
In beiden Fällen gelingt es Angreifern, die Schutzmechanismen der integrierten Sandbox zu umgehen. Dadurch können Dateien außerhalb des eigentlichen Projektbereichs verändert und im schlimmsten Fall Schadcode mit den Rechten des Betriebssystems ausgeführt werden. Betroffen wären sowohl der lokale Rechner als auch angebundene Cloud-Dienste.

Zwei unterschiedliche Schwachstellen
Die erste Sicherheitslücke betrifft die Verarbeitung des Arbeitsverzeichnisses. Laut Cato AI Labs vertraut Cursor dabei einem optionalen Parameter, der den Speicherort für Schreibzugriffe festlegt. Gelingt es einem Angreifer, diesen Wert über eine manipulierte KI-Anweisung zu beeinflussen, kann die Sandbox Schreibrechte auf beliebige Verzeichnisse außerhalb des Projekts erhalten. Dadurch lassen sich unter anderem sicherheitsrelevante Programmdateien überschreiben.
Die zweite Schwachstelle nutzt symbolische Links (Symlinks) aus. Hier führt ein Fehler bei der Auflösung von Dateipfaden dazu, dass Cursor unter bestimmten Bedingungen Dateien außerhalb des erlaubten Bereichs verändert. Auch dieser Fehler kann über eine gezielt platzierte Prompt-Injection ausgenutzt werden und ermöglicht letztlich das Umgehen der Sandbox.
KI-Agenten erweitern die Angriffsfläche
Nach Einschätzung der Forscher unterscheiden sich diese Angriffe von klassischen Sicherheitsproblemen. Während externe Angreifer normalerweise keinen direkten Einfluss auf lokale Dateisysteme haben, übernehmen KI-gestützte Entwicklungswerkzeuge selbst komplexe Aufgaben wie das Erstellen von Dateien oder das Ausführen von Befehlen. Dadurch entstehen neue Angriffsmöglichkeiten, wenn manipulierte Eingaben vom Sprachmodell ungeprüft verarbeitet werden.
Die Untersuchung verdeutlicht, dass moderne KI-Entwicklungsumgebungen nicht nur hinsichtlich der Sprachmodelle abgesichert werden müssen. Auch klassische Programmfehler können durch KI-Agenten leichter ausgenutzt werden.
Sicherheitslücken inzwischen geschlossen
Wie Cato AI Labs mitteilt, wurden die Schwachstellen im Februar 2026 an das Cursor-Team gemeldet. Nach einer zunächst ablehnenden Bewertung nahm das Unternehmen die Meldungen erneut auf und entwickelte entsprechende Sicherheitsupdates.
Die Korrekturen wurden schließlich mit Cursor 3.0 ausgeliefert. Anfang Juni erhielten die beiden Schwachstellen offiziell die CVE-Nummern CVE-2026-50548 und CVE-2026-50549, womit ihr kritischer Schweregrad bestätigt wurde.
Lehre für KI-gestützte Entwicklungswerkzeuge
Der Fall zeigt, dass KI-gestützte Entwicklungsumgebungen neue Sicherheitsrisiken mit sich bringen können. Werden Sprachmodelle in sicherheitskritische Funktionen eingebunden, müssen neben den KI-Komponenten auch sämtliche klassischen Softwarepfade sorgfältig abgesichert werden. Die Analyse von Cato AI Labs verdeutlicht, dass Prompt-Injection inzwischen weit über die Manipulation von Chatbot-Antworten hinausgehen und zu einer vollständigen Systemkompromittierung führen kann.
(red/Cato AI)