Celah Kritis Cursor Bisa Membuat Prompt Injection Menjalankan Perintah

Dua celah kritis ditemukan pada Cursor, editor kode berbasis AI. Celah ini dapat membuat prompt injection keluar dari sandbox.

Masalah ini dikenal dengan nama DuneSlide. Dua celah tersebut dilacak sebagai CVE-2026-50548 dan CVE-2026-50549.

Risikonya serius. Penyerang bisa membuat perintah berjalan di komputer developer. Bahkan, serangan dapat terjadi tanpa klik tambahan dari pengguna.

Apa Itu Cursor?

Cursor adalah editor kode yang memakai AI untuk membantu developer. Tool ini dapat membaca kode, memberi saran, dan menjalankan perintah terminal.

Fitur seperti ini sangat membantu. Namun, fitur tersebut juga membawa risiko baru.

Jika AI membaca instruksi berbahaya dari sumber luar, instruksi itu bisa memengaruhi tindakan agent. Inilah yang disebut prompt injection.

Mengapa Celah Ini Berbahaya?

DuneSlide berbahaya karena menyerang mekanisme sandbox. Sandbox seharusnya membatasi apa yang bisa dilakukan perintah AI.

Namun, dua celah ini membuat batas tersebut bisa dilewati. Akibatnya, perintah yang awalnya terbatas dapat berjalan tanpa sandbox.

Setelah itu, penyerang bisa menjalankan perintah dengan hak akses pengguna. Ini dapat berdampak pada komputer developer dan layanan yang terhubung.

Bagaimana Serangan Bisa Terjadi?

Serangan dimulai dari prompt injection. Penyerang tidak perlu mengetik langsung di Cursor milik korban.

Sebaliknya, instruksi jahat bisa disisipkan ke sumber yang dibaca oleh agent. Contohnya adalah MCP server, hasil pencarian web, atau layanan yang terhubung.

Lalu, pengguna menjalankan prompt biasa. Tanpa sadar, agent ikut membaca instruksi tersembunyi dari sumber tersebut.

Karena itu, serangan ini bisa disebut zero-click. Pengguna tidak perlu menekan tombol berbahaya atau menyetujui perintah tambahan.

CVE-2026-50548: Manipulasi Working Directory

Celah pertama memanfaatkan parameter working directory. Parameter ini dipakai saat agent menjalankan perintah terminal.

Dalam kondisi normal, perintah seharusnya berjalan di folder proyek. Namun, celah ini membuat path lain bisa ikut dianggap aman.

Akibatnya, prompt injection dapat mengarahkan agent ke lokasi yang tidak seharusnya. Setelah itu, agent bisa menulis file di luar area proyek.

Jika file penting seperti helper sandbox ditimpa, perlindungan sandbox bisa hilang. Perintah berikutnya dapat berjalan tanpa batasan yang sama.

CVE-2026-50549: Masalah Symlink

Celah kedua berkaitan dengan symlink. Symlink adalah pintasan file yang dapat menunjuk ke lokasi lain.

Cursor seharusnya memeriksa tujuan asli file sebelum menulis data. Tujuannya adalah memastikan file tetap berada di dalam workspace.

Namun, proses pemeriksaan ini bisa gagal dalam kondisi tertentu. Saat gagal, Cursor dapat mempercayai path awal yang terlihat aman.

Akibatnya, agent bisa menulis ke lokasi di luar workspace melalui symlink. Ini dapat membuka jalan untuk remote code execution.

Dampak untuk Developer

Dampaknya bisa besar bagi developer. Jika eksploit berhasil, penyerang dapat menjalankan perintah di komputer korban.

Selain itu, akses ke layanan lain juga bisa ikut terdampak. Banyak developer login ke cloud, Git, SaaS, atau tool internal melalui editor mereka.

Jika komputer developer dikuasai, risiko tidak berhenti di perangkat lokal. Serangan bisa meluas ke repository, token, dan workspace perusahaan.

Apakah Sudah Dieksploitasi?

Belum ada tanda bahwa celah ini sudah dipakai dalam serangan nyata. Temuan ini dipublikasikan sebagai riset keamanan.

Namun, risikonya tetap tinggi. Celah dengan dampak remote code execution perlu segera ditangani.

Apalagi, tool AI coding semakin banyak dipakai. Semakin luas penggunaannya, semakin besar juga dampak jika celah seperti ini disalahgunakan.

Versi yang Terdampak

Cursor versi sebelum 3.0 terdampak oleh celah ini. Perbaikan sudah tersedia di Cursor 3.0.

Karena itu, pengguna sebaiknya segera melakukan update. Jangan menunda update jika Cursor dipakai untuk pekerjaan penting.

Selain itu, perusahaan perlu memeriksa versi Cursor di perangkat developer. Pastikan semua endpoint memakai versi yang sudah aman.

Langkah Mitigasi yang Disarankan

Langkah utama adalah update Cursor ke versi 3.0 atau yang lebih baru. Ini adalah cara paling aman untuk menutup celah.

Selain itu, batasi sumber yang boleh dibaca oleh AI agent. Jangan hubungkan agent ke MCP server atau layanan yang tidak dipercaya.

Developer juga perlu berhati-hati saat memakai fitur yang dapat menjalankan perintah otomatis. Periksa akses terminal, token, dan integrasi yang aktif.

Untuk perusahaan, lakukan audit pada endpoint developer. Cek juga apakah ada file konfigurasi atau token yang terbuka.

Kesimpulan

DuneSlide menunjukkan risiko baru pada AI coding tools. Prompt injection tidak hanya bisa memengaruhi jawaban AI.

Dalam kasus ini, prompt injection dapat membantu keluar dari sandbox. Setelah itu, perintah bisa berjalan di komputer developer.

Karena itu, update Cursor harus menjadi prioritas. Selain patching, tim security juga perlu memperketat kontrol pada AI agent, MCP, dan akses terminal.

Source: https://thehackernews.com/2026/07/critical-cursor-flaws-could-let-prompt.html