Cursor AI kod editöründe keşfedilen iki kritik güvenlik açığı, geliştiriciler için ciddi bir tehdit oluşturuyor. Cato AI Labs tarafından bulunan ve DuneSlide adı verilen bu açıklar, CVE-2026-50548 ve CVE-2026-50549 olarak izleniyor. Her iki açık da 10 üzerinden 9.8 puan alarak ‘kritik’ seviyede değerlendiriliyor. Bu açıklar sayesinde, zararsız görünen tek bir prompt, editörün güvenlik sandbox'ını aşarak geliştiricinin bilgisayarında herhangi bir komutu çalıştırabiliyor. Saldırının gerçekleşmesi için herhangi bir tıklama veya onay gerekmiyor, yani ‘sıfır tıklama’ ile gerçekleşiyor.
Cursor 2.x sürümlerinde varsayılan olarak etkin olan sandbox, AI ajanının terminal komutlarını güvenli bir şekilde çalıştırmak için tasarlanmıştı. Ancak DuneSlide açıkları, bu sandbox'ı etkisiz hale getirmenin iki farklı yolunu sunuyor. İlk açık (CVE-2026-50548), çalışma dizini parametresini (working_directory) istismar ediyor. Normalde sandbox, yalnızca proje dosyalarına yazma izni verirken, bu parametreye yabancı bir yol verildiğinde Cursor bu yolu sorgusuz sualsiz izinli listeye ekliyor. Saldırgan, bu yolu sandbox yardımcı dosyasına (macOS’ta /Applications/Cursor.app/.../cursorsandbox) yönlendirerek üzerine yazabiliyor ve ardından gelen komutlar sandbox olmadan çalışıyor.
İkinci açık (CVE-2026-50549) ise sembolik bağlantı (symlink) kontrolündeki bir zafiyetten kaynaklanıyor. Cursor, bir dosyaya yazmadan önce sembolik bağlantıyı çözerek gerçek hedefin proje içinde olup olmadığını kontrol ediyor. Ancak bu kontrol başarısız olduğunda (hedef dosya yoksa veya yoldaki bir klasöre erişim engellenmişse), Cursor pes ediyor ve sembolik bağlantının proje içindeki yoluna güveniyor. Saldırgan, proje dışındaki bir hedefi gösteren bir sembolik bağlantı oluşturup kontrolü çökertiyor ve aynı sandbox yardımcı dosyasına yazıyor. Her iki yöntem de sandbox'ı devre dışı bırakarak geliştiricinin makinesinde tam kontrol sağlıyor.
Teknik Analiz
Cursor, bu açıkları 3.0 sürümünde (2 Nisan'da yayınlandı) düzeltti. Kullanıcıların derhal güncelleme yapması öneriliyor. Cato AI Labs, bu tür açıkların diğer AI kodlama ajanlarında da bulunduğunu ve sorunun yapısal olduğunu belirtiyor. DuneSlide, geçmişteki CurXecute, MCPoison ve CVE-2026-26268 gibi açıkların bir devamı niteliğinde. Her biri farklı bir güvenlik önlemini aşarak prompt injection ile kod çalıştırmayı başarıyor. Bu durum, AI ajanlarının interneti okuduğu senaryolarda her girdinin düşmanca kabul edilmesi gerektiğini bir kez daha hatırlatıyor.