« Tüm yayınlar

Cursor Sandbox Kaçışı: AI Ajanlarına Çekirdek Düzeyi Sınır Gerek

Cursor'ın sandbox'ında iki kritik güvenlik açığı, saldırgan kontrolündeki AI ajanının dosya yazıp RCE elde etmesine izin verdi. Cursor 3.0 açıkları giderdi.

Cato AI Labs araştırmacıları, Cursor'ın ajan komutlarını sınırladığı workspace sandbox'ında iki kritik açık buldu: CVE-2026-50548 (working_directory üzerinden path traversal) ve CVE-2026-50549 (symlink canonicalization fallback). Her ikisi de CVSS 9'un üzerinde puanlandı ve saldırganın kurbandan hiçbir şey istemesine gerek kalmadan, yalnızca prompt injection ile ele geçirilmiş bir ajan aracılığıyla tetiklenebiliyordu. Her iki açık da cursorsandbox yardımcı programının üzerine yazılmasına, dolayısıyla tam sandbox dışı kod çalıştırmaya kadar uzanabiliyordu.

İki açığın da kök nedeni aynı: sandbox, bir path'in workspace içinde olup olmadığına uygulama katmanında, kullanıcı alanındaki string mantığıyla karar veriyordu. Ajan tarafından kontrol edilebilen bir working_directory parametresi ya da canonicalization başarısız olduğunda devreye giren güvensiz bir fallback, denetimi atlatmaya yetiyordu. Bu, aynı yetkiyi ve dosya sistemi görünümünü paylaşan uygulama düzeyinde bir sınırlamanın klasik zayıflığıdır: kod her seferinde doğru path muhakemesi yapmak zorundadır, tek bir hata sınırı çökertir.

Cursor 3.0 her iki sorunu da doğru şekilde çözdü: sandbox artık ajan kontrolündeki bir dizine göre yazma izni vermiyor, çözülemeyen hedef path'ler workspace'e geri düşmek yerine engelleniyor. Yazı, kernel düzeyinde Landlock tabanlı bir dış sınır kullanmanın (h5i env gibi araçlarla) neden ek bir savunma katmanı sağladığını da tartışıyor; çünkü bu tür bir sınırda dosya sistemi kararı uygulamanın değil çekirdeğin elindedir ve aynı path oyunlarına karşı bağışıktır. Ancak bu yaklaşım Cursor'ı yamalamaz, prompt injection'ı engellemez; asıl çözüm yine de Cursor 3.0'a güncellemektir.

Mühendisler için önemi açık: AI ajanlarını güvenmediğiniz girdiler (repo, issue, MCP context) üzerinde çalıştırırken, uygulama katmanındaki sandbox'lara tek başına güvenmek riskli. Kritik iş akışlarında kernel destekli izolasyon (Landlock, network namespace, dosya allowlist'i) ek bir savunma katmanı olarak değerlendirilmeli.

» KaynakHashnode #8