Eine unkorrigierte Sicherheitslücke im KI-Editor Cursor ermöglicht Schadcode-Ausführung unter Windows. Der Fehler betrifft über sieben Millionen Nutzer.
Die IT-Sicherheitsfirma Mindgard hat eine bisher unkorrigierte Sicherheitslücke in der beliebten KI-gestützten Entwicklungsumgebung Cursor öffentlich gemacht. Der Fehler betrifft ausschließlich die Windows-Version des Editors, der laut Branchenberichten von mehr als sieben Millionen aktiven Entwicklern genutzt wird. Die Schwachstelle ermöglicht es Angreifern, beliebigen Schadcode auf dem System eines Programmierers auszuführen, sobald dieser ein präpariertes Code-Repository öffnet. Die Ursache des Problems liegt in der Suchlogik des Editors: Beim Laden eines Projekts sucht Cursor an verschiedenen Orten nach Git-Anwendungen. Dabei durchsucht die Software auch das geöffnete Verzeichnis selbst. Befindet sich im Hauptordner dieses Verzeichnisses eine manipulierte Datei mit dem Namen git.exe, führt Cursor diese beim Starten ohne jegliche Sicherheitsabfrage oder Benachrichtigung des Nutzers automatisch aus.
Mindgard warnt vor einfacher Ausnutzung
Die Entdecker der Schwachstelle betonen, dass für einen erfolgreichen Angriff keine komplexen Manipulationen an den KI-Modellen selbst notwendig sind. In ihrem am 15. Juli 2026 veröffentlichten Forschungsbericht stellt die Sicherheitsfirma klar:
„Die Sicherheitslücke ist nicht theoretisch und hängt nicht von einer komplexen Kette von Ausnutzungen, Prompt-Injektionen, Modellmanipulationen, Jailbreaks, Speicherbeschädigungen oder ausgefeilten Angreifer-Techniken ab. Die Ausnutzung erfordert lediglich, dass ein Entwickler ein Projekt öffnet, das eine git.exe-Binärdatei im Stammverzeichnis des Repositories enthält.“
IT-Sicherheitsfirma Mindgard
Mindgard hatte die Schwachstelle bereits am 15. Dezember 2025 an die Entwickler von Cursor gemeldet und den Fehler im Januar 2026 im Rahmen des dortigen Bug-Bounty-Programms auf HackerOne demonstriert. Da jedoch über einen Zeitraum von sieben Monaten keine Rückmeldung zu einem geplanten Update erfolgte, entschied sich das Unternehmen nun zur vollständigen Veröffentlichung des Fehlers.
Cursor verweist auf geteilte Verantwortung
Die Entwickler von Cursor haben am 15. Juli 2026 in ihrem offiziellen Community-Forum auf den Bericht reagiert. Sie bestätigten das Verhalten, erklärten die Schwachstelle jedoch für außerhalb des Rahmens ihres Bug-Bounty-Programms. Zur Begründung verwies das Unternehmen auf ein Modell der geteilten Verantwortung für Workspace- und Agenten-Eingaben. Demnach liegt es in der Entscheidung der Nutzer, welche Repositories, Prompts und Werkzeuge sie in ihre Arbeitsumgebung einbringen. Fehler, die voraussetzen, dass bereits manipulierte Dateien in diesem Kontext vorhanden sind, fallen laut Cursor generell nicht unter das Prämienprogramm.
Als Schutzmaßnahme empfiehlt das Unternehmen die Aktivierung der integrierten Funktion Workspace Trust. Wenn diese Option aktiviert ist, werden nicht vertrauenswürdige Ordner in einem eingeschränkten Modus geöffnet, was die automatische Ausführung bösartiger Repositories verhindert. Zudem könnenen Administratoren in Unternehmen diese Einstellungen über Mobile-Device-Management-Lösungen netzwerkweit erzwingen.
(red)