
ИИ-ассистенты для разработки уже умеют писать код, запускать терминал, редактировать файлы и работать с внешними сервисами. Но чем больше полномочий получают такие агенты, тем шире становится поверхность атаки.
Исследователи из Cato AI Labs обнаружили две критические уязвимости в Cursor IDE, которые позволяют превратить обычную промпт-инъекцию в выполнение произвольного кода на компьютере разработчика. Обе проблемы получили оценку 9,8 балла по шкале CVSS и зарегистрированы как CVE-2026-50548 и CVE-2026-50549.
Новость интересна не столько самим Cursor, сколько тем, что она демонстрирует новый класс атак на ИИ-агентов: вредоносная инструкция больше не ограничивается влиянием на ответы модели, а способна затронуть вполне традиционные механизмы операционной системы.

Хотите выиграть призы и бонусы на аренду серверов?
Приглашаем решить ИТ-кроссворд! Более 100 вопросов на разные темы из мира ИИ и машинного обучения — ежедневно с 6 по 9 июля.
Что произошло
Современные AI IDE постепенно превращаются во все более самостоятельных AI-агентов. Помимо генерации кода они могут выполнять команды терминала, создавать файлы, работать с Git, анализировать отображение интерфейсов в браузере, обращаться к MCP-серверам и использовать внешние инструменты.
Чтобы снизить риски, Cursor запускает большинство команд через собственную песочницу (Cursor Sandbox), ограничивая доступ исполняемого кода к файловой системе. Однако исследователи показали, что в некоторых сценариях такую защиту можно обойти.
Достаточно, чтобы разработчик отправил с виду безобидный запрос, а агент в процессе работы получил данные из недоверенного источника, подготовленного злоумышленником — например, через результат веб-поиска или ответ MCP-сервера, содержащий скрытую инструкцию для модели. После этого промпт-инъекция может изменить параметры внутренних инструментов Cursor и привести к записи файлов за пределами рабочей директории.
Промпт-инъекция — это атака, при которой злоумышленник внедряет скрытые инструкции в текст, который обрабатывает языковая модель (промпт). В отличие от классических инъекций, вредоносный код исполняет не приложение, а сама LLM, изменяя свое поведение или действия подключенных инструментов.
Какие уязвимости обнаружили
CVE-2026-50548
Первая уязвимость связана с обработкой параметра working_directory при выполнении терминальных команд.
Поскольку этот параметр может определяться самой LLM, атакующий способен заставить агента изменить рабочую директорию и записать данные в чувствительные области файловой системы. В результате появляется возможность изменить пользовательские конфигурационные или служебные файлы Cursor, например ~/.zshrc.
CVE-2026-50549
Вторая проблема использует особенности обработки символических ссылок.
Исследователи обнаружили, что при определенных условиях Cursor некорректно проверяет путь назначения символической ссылки. Это позволяет обойти ограничения песочницы и записывать данные за пределами разрешенной директории.
В обоих случаях итог одинаковый — выполнение последующих команд уже происходит вне ограничений песочницы, что открывает путь к удаленному выполнению кода.
Почему это важно
Главный вывод исследования заключается не в том, что в Cursor нашли очередную уязвимость. Гораздо важнее, что промпт-инъекция используется как инструмент для эксплуатации классических ошибок безопасности: недостаточной проверки параметров, некорректной обработки путей и символических ссылок.
Раньше подобные атаки в основном рассматривались как способ заставить модель раскрыть системный промпт, проигнорировать инструкции разработчика или выдать конфиденциальные данные.
Теперь становится очевидно, что при наличии доступа к файловой системе или терминалу последствия могут оказаться значительно серьезнее. Фактически LLM начинает выступать посредником между злоумышленником и традиционными механизмами эксплуатации.
Что это означает для разработчиков
Исследование показывает, что привычные практики безопасной разработки необходимо применять и к ИИ-агентам. Недостаточно ограничить модель системным промптом или добавить песочницу для выполнения команд. Необходимо проверять параметры, передаваемые агентом инструментам, корректно обрабатывать символьные ссылки, контролировать пути доступа к файлам и придерживаться принципа минимально необходимых привилегий.
Особое внимание стоит уделить интеграциям с внешними источниками данных — поисковыми системами, MCP-серверами, документацией и другими сервисами, содержимое которых может оказаться недоверенным.

Облачная инфраструктура для ваших проектов
Виртуальные машины в Москве, Санкт-Петербурге и Новосибирске с оплатой по потреблению.
Что дальше
По мере развития агентных ИИ-систем поверхность атаки начинает все больше напоминать классические корпоративные приложения. Это означает, что безопасность подобных решений уже нельзя рассматривать исключительно как проблему языковой модели. Все большее значение приобретают архитектурные вопросы: разграничение привилегий, изоляция окружений, безопасное выполнение инструментов и контроль доступа к данным.
Вероятно, именно эти механизмы станут основой следующего поколения средств защиты AI IDE и агентных платформ. Если раньше промпт-инъекции воспринималась как способ манипулировать ответами модели, то теперь она становится полноценной частью цепочки эксплуатации традиционных уязвимостей. Это означает, что безопасность агентных ИИ-систем придется проектировать по тем же принципам, что и безопасность любой другой критически важной инфраструктуры.
Как минимизировать риски
Первое, что важно сделать — убедиться, что вы используете актуальную версию Cursor. Для этого в интерфейсе выберите Cursor → About cursor и проверьте номер версии — исправления обеих уязвимостей вошли в Cursor 3.0 и более новые релизы.

Хотя разработчики Cursor уже устранили обнаруженные уязвимости, исследование Cato AI Labs показывает, что подобные атаки могут встречаться и в других AI IDE и агентных системах. Полностью исключить влияние промпт-инъекций на LLM невозможно (почему — читайте в нашей статье про промпт-инъекции), однако риск эксплуатации можно существенно снизить.
Используйте актуальные версии Cursor и других инструментов разработки. В подобных продуктах исправления безопасности выходят регулярно, а многие уязвимости связаны именно с логикой работы агентов и встроенных инструментов.
Ограничивайте доступ к недоверенным источникам данных. Промпт-инъекция может попасть в контекст модели через результаты веб-поиска, ответы MCP-серверов, документацию или содержимое репозиториев. Если такие источники не являются критически важными для задачи, лучше ограничить их использование или добавить дополнительную проверку.
Минимизируйте привилегии AI-агентов. Даже если IDE поддерживает автоматическое выполнение команд, агент не должен иметь возможность изменять системные файлы или получать доступ к критически важным директориям без необходимости.
Используйте изолированные окружения. При работе с незнакомыми проектами или внешним кодом безопаснее запускать AI IDE не на рабочем ноутбуке, а в виртуальной машине, контейнере или отдельной рабочей среде. Это поможет снизить вероятность компрометации основной системы в случае успешной эксплуатации уязвимости.
Если в вашей компании уже ведется внедрение ИИ в процессы разработки, важно заранее предусмотреть собрание инфраструктуры под «песочницы» — например, развернуть отдельное окружение в облаке Selectel для экспериментов, тестирования AI IDE и разработки с использованием ИИ.
Рассматривайте AI IDE как потенциально привилегированное ПО. Современные агентные среды умеют выполнять команды, изменять файлы, взаимодействовать с Git и внешними сервисами. При их внедрении стоит применять те же принципы защиты, что и к другим инструментам с широкими полномочиями: сегментировать окружение, контролировать права доступа и отслеживать действия агентов.
Применяйте автоматическое выявление промпт-инъекций
Используйте Open Source и корпоративные решения класса AI Guardrails для автоматического выявления промпт-инъекций в запросах AI-агентов и пользователей к LLM и в ответах модели. Такие системы анализируют входящий и исходящий поток запросов в режиме близком к реальному времени, выявляют попытки обхода защитных механизмов и предотвращают выполнение вредоносных инструкций до того, как они повлияют на работу модели.
Если вы все же не утратили доверие к Cursor, то в отдельной статье мы рассказали об установке и основной настройке инструмента.
ссылка на оригинал статьи https://habr.com/ru/articles/1054874/