Kerentanan Kritis Cursor Bisa Biarkan Prompt Injection Keluar Sandbox dan Jalankan Perintah

Jul 1, 2026 - 22:00
 0  3
Kerentanan Kritis Cursor Bisa Biarkan Prompt Injection Keluar Sandbox dan Jalankan Perintah

Cursor, editor kode berbasis AI populer, baru-baru ini terungkap memiliki dua kerentanan kritis yang memungkinkan serangan prompt injection untuk meloloskan sandbox keamanan dan menjalankan perintah berbahaya langsung di komputer pengembang tanpa perlu interaksi pengguna. Kerentanan ini diberi kode CVE-2026-50548 dan CVE-2026-50549 dengan skor keparahan 9.8 pada skala CVSS lama, atau 9.3 pada skala CVSS 4.0 terbaru.

Ad
Ad

Penemuan ini diungkap oleh Cato AI Labs yang menamai celah ini sebagai DuneSlide. Patch perbaikan sudah tersedia dan disertakan dalam rilis Cursor 3.0 yang dirilis pada 2 April 2026. Semua versi sebelum 3.0 rentan terhadap eksploitasi ini. Mengingat lebih dari setengah perusahaan Fortune 500 menggunakan Cursor, penting bagi pengguna untuk segera memperbarui perangkat lunak mereka.

Fungsi Sandbox Cursor dan Cara Kerentanannya Dieksploitasi

Mulai versi 2.x, Cursor menjalankan perintah terminal yang dihasilkan AI dalam sebuah sandbox, yaitu lingkungan terisolasi yang membatasi akses perintah agar tidak dapat merusak sistem secara luas. Namun, celah DuneSlide memungkinkan penyerang untuk keluar dari sandbox ini melalui teknik prompt injection.

Penyerang tidak perlu mengetik langsung ke dalam Cursor. Mereka menyisipkan instruksi berbahaya yang tersembunyi di dalam data yang dibaca oleh agen AI, seperti layanan terhubung melalui Model Context Protocol (MCP) atau halaman hasil pencarian web. Saat pengguna mengajukan pertanyaan biasa, instruksi tersembunyi ikut terbawa dan langsung dieksekusi tanpa perlu klik atau konfirmasi apa pun, sehingga serangan ini disebut zero-click.

Kedua kerentanan menggunakan trik yang sama, yaitu memaksa agen menulis file yang seharusnya tidak diperbolehkan, kemudian menggunakan file tersebut untuk menonaktifkan sandbox.

CVE-2026-50548: Penyalahgunaan Parameter working_directory

Sandbox memperbolehkan penulisan file hanya di folder kerja perintah (working directory). Namun, parameter opsional working_directory pada alat run_terminal_cmd di Cursor dapat disetel oleh agen AI ke jalur non-standar tanpa validasi ketat. Penyerang dapat menyetel ke file sistem penting, misalnya /Applications/Cursor.app/Contents/Resources/app/resources/helpers/cursorsandbox di macOS, untuk menimpa file pembantu sandbox. Setelah itu, perintah berikutnya dijalankan tanpa pembatasan sandbox. Target lain yang sering digunakan adalah file startup shell seperti ~/.zshrc.

Sebelum menulis file, Cursor mencoba menyelesaikan symlink untuk memastikan tujuan sebenarnya berada di dalam proyek. Namun, jika pemeriksaan gagal karena target tidak ada atau hak baca folder dihilangkan, Cursor mengabaikan hasil tersebut dan langsung mempercayai jalur dalam proyek yang ditunjuk oleh symlink. Penyerang dapat memanfaatkan celah ini dengan membuat symlink yang menunjuk keluar folder proyek dan memaksa pemeriksaan gagal, sehingga menulis langsung ke file pembantu sandbox sama seperti celah sebelumnya.

Setelah sandbox dinonaktifkan, penyerang dapat menjalankan perintah berbahaya dengan hak akses pengguna, termasuk mengakses workspace cloud atau SaaS yang terhubung dengan editor. Semua ini berawal dari sebuah prompt yang tampak biasa saja.

Reaksi dan Respons dari Cursor

Hingga saat ini, tidak ada indikasi bahwa kerentanan ini telah dieksploitasi dalam serangan nyata. Cato AI Labs menyampaikan temuan ini sebagai hasil penelitian, bukan laporan serangan aktif. Mereka melaporkan masalah ini pada 19 Februari 2026, namun Cursor awalnya menolak klaim tersebut dengan alasan model ancaman mereka tidak mencakup penyalahgunaan server MCP, bahkan untuk server resmi seperti workspace Linear.

Setelah eskalasi laporan pada 26 Februari, Cursor akhirnya membuka kembali laporan, menilai ulang, dan merilis perbaikan dalam versi 3.0. CVE resmi baru diberikan pada 5 Juni 2026. Cursor juga menerbitkan penjelasan resmi terkait kerentanan symlink ini.

Riwayat Kerentanan Cursor dan Tren Serangan Serupa

DuneSlide bukanlah kerentanan pertama di Cursor yang berawal dari prompt berbahaya dan berakhir pada eksekusi kode berbahaya. Berikut beberapa kasus terdahulu yang pernah dilaporkan:

  • CurXecute (CVE-2025-54135): Dari tim yang sama saat bernama Aim Security, ditemukan pada Agustus 2025. Pesan yang disusupi di Slack mampu mengubah konfigurasi Cursor dan menjalankan perintah meski pengguna menolak perubahan. Telah diperbaiki di versi 1.3.
  • MCPoison (CVE-2025-54136): Ditemukan oleh Check Point Research, memungkinkan penyerang mendapatkan persetujuan konfigurasi MCP sekali, lalu tanpa diketahui mengganti perintah dengan yang berbahaya.
  • CVE-2026-26268: Sebuah hook Git berbahaya tersembunyi di repositori yang menyala saat agen menjalankan perintah Git, diperbaiki di versi 2.5.

Sandbox di versi 2.x merupakan respons Cursor terhadap gelombang serangan tersebut, dan DuneSlide membuktikan ada celah baru untuk meloloskan sandbox tersebut. Menurut Cato AI Labs, masalah ini bersifat struktural dan tidak hanya satu atau dua kasus terisolasi, melainkan tantangan besar dalam desain agen AI yang berinteraksi dengan sumber terbuka seperti web.

Analisis Redaksi

Menurut pandangan redaksi, kerentanan DuneSlide menggarisbawahi risiko serius dari model keamanan yang mengandalkan sandbox semata tanpa validasi input yang ketat, terutama dalam konteks agen AI yang membaca data dari beragam sumber terbuka. Ancaman zero-click execution ini sangat berbahaya karena pengguna tidak sadar telah menjadi korban, membuka peluang bagi pelaku kejahatan siber untuk menguasai sistem pengembang secara diam-diam.

Lebih jauh, kasus ini menegaskan bahwa perlindungan berbasis patch pada kerentanan satu per satu tidak cukup. Perlu pendekatan keamanan yang lebih mendasar, seperti desain ulang bagaimana agen AI memproses input eksternal dan menerapkan prinsip zero trust untuk semua data yang masuk, termasuk dari MCP dan layanan terhubung lainnya.

Ke depan, pembuat alat pengembangan berbasis AI dan pengguna harus mewaspadai potensi risiko keamanan yang tersembunyi di balik kemudahan penggunaan. Memperbarui perangkat lunak secara rutin dan memahami bagaimana sandbox bekerja adalah langkah awal penting. Selain itu, publik dan komunitas keamanan harus terus menuntut transparansi dan audit independen dari penyedia layanan AI.

Untuk pembaca yang ingin memahami lebih jauh dan mengikuti update terbaru, kunjungi situs resmi Cursor dan ikuti berita dari sumber terpercaya seperti CNN Indonesia Teknologi.

What's Your Reaction?

Like Like 0
Dislike Dislike 0
Love Love 0
Funny Funny 0
Angry Angry 0
Sad Sad 0
Wow Wow 0
admin As a passionate news reporter, I am fueled by an insatiable curiosity and an unwavering commitment to truth. With a keen eye for detail and a relentless pursuit of stories, I strive to deliver timely and accurate information that empowers and engages readers.
Ad
Ad