



Cursor IDE получил две критические RCE-уязвимости. Почему это важный сигнал для безопасности ИИ-агентов
ИИ-ассистенты для разработки уже умеют писать код, запускать терминал, редактировать файлы и работать с внешними сервисами. Но чем больше полномочий получают такие агенты, тем шире становится поверхность атаки.
Исследователи из Cato AI Labs обнаружили две критические уязвимости в Cursor IDE, которые позволяют превратить обычную промпт-инъекцию в выполнение произвольного кода на компьютере разработчика. Обе проблемы получили оценку 9,8 балла по шкале CVSS и зарегистрированы как CVE-2026-50548 и CVE-2026-50549.
Новость интересна не столько самим Cursor, сколько тем, что она демонстрирует новый класс атак на ИИ-агентов: вредоносная инструкция больше не ограничивается влиянием на ответы модели, а способна затронуть вполне традиционные механизмы операционной системы.
Хотите выиграть призы и бонусы на аренду серверов?
Приглашаем решить ИТ-кроссворд! Более 100 вопросов на разные темы из мира ИИ и машинного обучения — ежедневно с 6 по 9 июля.
Зарегистрироваться →
Современные AI IDE постепенно превращаются во все более самостоятельных AI-агентов. Помимо генерации кода они могут выполнять команды терминала, создавать файлы, работать с Git, анализировать отображение интерфейсов в браузере, обращаться к MCP-серверам и использовать внешние инструменты.
Чтобы снизить риски, Cursor запускает большинство команд через собственную песочницу (Cursor Sandbox), ограничивая доступ исполняемого кода к файловой системе. Однако исследователи показали, что в некоторых сценариях такую защиту можно обойти.
Достаточно, чтобы разработчик отправил с виду безобидный запрос, а агент в процессе работы получил данные из недоверенного источника, подготовленного злоумышленником — например, через результат веб-поиска или ответ MCP-сервера, содержащий скрытую
Читать на habr.com
