O DuneSlide é um conjunto de duas falhas críticas no Cursor IDE, o editor de código com IA usado por mais da metade da Fortune 500, que permite a invasores executar comandos arbitrários na máquina do desenvolvedor a partir de um prompt inofensivo, sem clique e sem aprovação. As vulnerabilidades CVE-2026-50548 e CVE-2026-50549 receberam nota 9,8 no CVSS, foram descobertas pela Cato AI Labs e já têm correção na versão 3.0 do Cursor, lançada em 2 de abril de 2026. Toda versão anterior permanece vulnerável.
O que é o DuneSlide
O DuneSlide é um par de falhas críticas no Cursor, o editor de código com inteligência artificial usado por mais da metade das empresas da Fortune 500, que permitem a um invasor executar qualquer comando no computador do desenvolvedor a partir de um prompt aparentemente inofensivo — sem clique, sem caixa de aprovação, sem interação. As vulnerabilidades, rastreadas como CVE-2026-50548 e CVE-2026-50549, receberam nota 9,8 de 10 no CVSS (9,3 na escala mais nova, CVSS 4.0) e foram descobertas pela equipe da Cato AI Labs, conforme reportou o The Hacker News em 1º de julho de 2026.
A correção já existe: ambas as falhas foram corrigidas na versão 3.0 do Cursor, lançada em 2 de abril. O problema é que toda versão anterior à 3.0 permanece vulnerável, e há muitos desenvolvedores e equipes rodando builds antigos do editor sem perceber que estão expostos. Para quem trabalha com programação assistida por IA no Brasil — e são cada vez mais —, esse é um aviso que merece atenção imediata.
Como a fuga do sandbox funciona
A partir da linha 2.x, o Cursor passou a executar dentro de um sandbox os comandos de terminal emitidos pelo seu agente de IA. A ideia é sensata: uma instrução desviada não conseguiria destruir a máquina. O DuneSlide é justamente sobre como escapir dessa caixa.
A porta de entrada é o prompt injection, a técnica em que o invasor nunca digita nada no seu Cursor. Em vez disso, ele planta instruções maliciosas dentro de algo que o agente lê em seu nome — um servidor conectado via Model Context Protocol (MCP) ou uma página retornada por uma busca na web. Você faz uma pergunta comum, as instruções escondidas viajam junto e, como não exigem clique ou aprovação sua, o ataque é classificado como zero-click.
A primeira falha, CVE-2026-50548, abusa de um parâmetro. O sandbox permite escrita na pasta de trabalho do comando, e essa pasta é um parâmetro opcional chamado working_directory na ferramenta run_terminal_cmd do Cursor. Quando o agente, manipulado pelo prompt injetado, aponta esse parâmetro para um caminho fora do projeto, o Cursor adiciona o caminho à lista de escritas permitidas sem questionar. O invasor pode então sobrescrever o próprio executável cursorsandbox (no macOS, em /Applications/Cursor.app/Contents/Resources/app/resources/helpers/) ou envenenar arquivos de inicialização como o ~/.zshrc. A partir dali, os comandos seguintes rodam sem sandbox nenhum.
O segundo caminho: symlinks
A segunda falha, CVE-2026-50549, abusa de uma verificação de segurança. Antes de escrever um arquivo, o Cursor resolve atalhos (symlinks) para confirmar que o destino real está dentro do seu projeto. O bug está no fallback: quando essa verificação falha — porque o alvo não existe ou o invasor removeu a permissão de leitura de uma pasta no caminho —, o Cursor desiste e confia no caminho dentro do projeto apresentado pelo atalho. O invasor cria um atalho que aponta para fora do projeto, força a falha da verificação e o Cursor escreve direto no mesmo arquivo cursorsandbox. Mesma fuga, porta diferente.
Uma vez neutralizado o sandbox, o próximo comando executa com os seus privilégios. Isso significa controle da máquina do desenvolvedor e de quaisquer ambientes de nuvem ou SaaS nos quais o editor esteja autenticado. Tudo a partir de um prompt inofensivo.
Por que é zero-click
O detalhe que torna o DuneSlide especialmente perigoso é a ausência de qualquer barreira humana. Editores de código com IA, como o Cursor, normalmente pedem aprovação do usuário para cada modificação de arquivo ou execução de comando. O problema é que isso é impraticável em fluxos de codificação autônomos e leva rapidamente à fadiga de aprovação — o usuário passa a clicar “sim” no piloto automático.
Como o CSO Online detalhou em sua análise, a falha revela uma vulnerabilidade nativa nos modelos de linguagem grandes (LLMs) e nos IDEs assistidos por IA que vai muito além do Cursor. Modelos de linguagem são, por natureza, suscetíveis a instruções maliciosas escondidas dentro do conteúdo que processam. Isso se torna especialmente perigoso na era da IA agentic, em que os modelos são combinados com navegadores e APIs que lhes dão acesso a conteúdo público de terceiros — páginas da web em resultados de busca, código em repositórios, comentários em rastreadores de bugs, e-mails e documentos do usuário.
A recusa inicial do Cursor
O histórico da divulgação é tão instrutivo quanto a falha em si. A Cato reportou os dois problemas em 19 de fevereiro de 2026. Quatro dias depois, o Cursor rejeitou os relatórios, argumentando que seu modelo de ameaças não cobria o uso indevido de servidores MCP — mesmo os padrão, como o workspace oficial do Linear. A Cato escalou o caso em 26 de fevereiro; o Cursor reabriu os relatórios, fez a triagem e lançou as correções na versão 3.0.
Os IDs de CVE só foram atribuídos em 5 de junho. O Cursor publicou seu próprio alerta para a falha do symlink e o registro na NVD está no ar. Não há sinais de que as falhas tenham sido usadas em ataques reais — a Cato apresenta o trabalho como pesquisa, não como uma campanha ativa, e o registro público de vulnerabilidades não mostra exploração conhecida até o momento da publicação.
O problema estrutural da IA
O DuneSlide não é um caso isolado. Ele é o mais recente de uma sequência de falhas no Cursor que começam com um prompt envenenado e terminam em execução de código, cada uma derrotando uma proteção diferente. O The Hacker News listou os antecessores: o CurXecute (CVE-2025-54135, agosto de 2025), vindo da mesma equipe, na época atuando como Aim Security, em que uma mensagem plantada no Slack reescrevia o arquivo de configuração do Cursor e rodava comandos mesmo após o usuário rejeitar a edição; o MCPoison (CVE-2025-54136), da Check Point Research, que permitia aprovar uma configuração MCP e depois trocar silenciosamente por comandos maliciosos; e a CVE-2026-26268 (fevereiro de 2026), que escondia um hook do Git armadilhado num repositório.
O sandbox da linha 2.x era a resposta do Cursor a essa onda anterior. O DuneSlide mostra como escapir da resposta. A Cato afirma estar divulgando falhas semelhantes em outros agentes de codificação e argumenta que o problema é estrutural, não uma série de incidentes isolados. Fica uma questão em aberto para quem lança agentes que leem a web aberta: tratar toda entrada como hostil passará a ser o padrão, ou continuará sendo uma corrida de correção por correção.
Ligações que importam
O DuneSlide se conecta a um padrão mais amplo de ataques que manipulam ferramentas de IA em que confiamos. Quem acompanhou o caso do pacote npm que roubava tokens do OpenAI Codex silenciosamente reconhece o vetor: o ambiente de desenvolvimento assistido por IA virou alvo prioritário dos atacantes. E o episódio da falha zero-click no Outlook reforça, sob outra superfície, como ataques sem interação do usuário são os mais perigosos. Para entender como organizar a resposta a incidentes desse tipo, vale reler nosso guia da matriz RACI em cibersegurança.
O que todo desenvolvedor deve fazer
A ação imediata é simples: atualize o Cursor para a versão 3.0 ou superior. Se você ou sua equipe ainda rodam qualquer versão da linha 2.x, vocês estão vulneráveis a execução remota de código a partir de um simples prompt. Verifique a versão instalada nas preferências do editor e force a atualização.
Além do patch, três práticas reduzem drasticamente a superfície de ataque. Primeiro, avalie cada servidor MCP conectado como avaliaria qualquer dependência de terceiros — servidores MCP podem servir como vetor de injeção de prompt tão facilmente quanto um pacote npm malicioso. Segundo, mantenha a aprovação humana ativada para operações sensíveis mesmo em fluxos autônomos; a fadiga de aprovação é um problema real, mas clicar “sim” no automático é pior. Terceiro, considere rodar agentes de codificação autônomos dentro de contêineres ou ambientes virtualizados isolados da sua máquina principal, para limitar o impacto caso um prompt envenenado escape de todas as proteções.
O DuneSlide é um lembrete de que a comodidade da IA generativa no desenvolvimento vem com uma superfície de ataque nova, que a velha mentalidade de “patch e segue” não cobre sozinha. A pergunta que fica não é se aparecerá a próxima falha de prompt injection em um agente de codificação — é quando, e se você estará numa versão já corrigida quando isso acontecer.
Referências
- The Hacker News — Critical Cursor Flaws Could Let Prompt Injection Escape Sandbox and Run Commands (01/jul/2026)
- CSO Online — Sandbox bypass flaws in Cursor IDE highlight prompt injection as an RCE vector (01/jul/2026)
- Cato Networks — DuneSlide: Two Critical RCE Vulnerabilities in Cursor IDE (2026)
- SC Media — Cursor vulnerability enables stealthy RCE via indirect prompt injection (2026)