В популярной AI-среде разработки Cursor нашли новую уязвимость с выполнением произвольного кода. Проблема получила идентификатор CVE-2026-26268 и связана с тем, как встроенный AI-агент работает с Git-репозиториями.
Речь идёт не о классическом баге в интерфейсе или API. Уязвимость появляется на стыке автоматических действий AI-агента, стандартных механизмов Git и доверия к содержимому репозитория.
Исследование Novee показало, что злоумышленник может подготовить репозиторий с «ловушкой». Внутри такого проекта скрывается вложенный bare-репозиторий с вредоносным Git hook — это скрипт, который автоматически выполняется при определённых действиях, например checkout или commit.
Дальше сценарий простой:
-
разработчик клонирует репозиторий;
-
открывает его в Cursor;
-
AI-агент сам инициирует Git-операции;
-
hook запускается и выполняет произвольный код.
Ключевой момент — участие пользователя минимальное. Агент сам решает выполнять команды, ориентируясь на контекст проекта и правила внутри репозитория.
Cursor — это не просто редактор кода, а IDE с доступом к файловой системе, терминалу и внешним инструментам.
В результате успешной атаки злоумышленник получает выполнение команд на машине разработчика, доступ к токенам, SSH-ключам и переменным окружения, а также возможность закрепиться через модификацию проекта или окружения.
Исследователи подчёркивают, что сама проблема не в Git hooks — они работают корректно. Риск возникает из-за автоматизации: AI-агент выполняет действия в недоверенной среде без явного контроля.
За последние месяцы вокруг Cursor накопился целый набор уязвимостей:
-
CVE-2026-22708 позволяла обходить allowlist и выполнять команды через prompt injection
-
ранее обнаруженные CurXecute и MCP-атаки позволяли удалённое выполнение кода через вредоносные репозитории
-
отдельные цепочки атак позволяли закрепиться и выполнять команды при каждом открытии проекта
Новая уязвимость продолжает ту же линию: атака идёт не через баг в коде, а через поведение AI-агента.
Проблемы с безопасностью AI-агентов перестали быть теорией. В апреле 2026 один из стартапов потерял production-базу данных из-за действий AI-агента Cursor.
Агент выполнил разрушительную операцию через API облачной платформы, ошибочно посчитав её безопасной. Восстановление заняло десятки минут, часть данных пришлось восстанавливать вручную.
Уязвимость CVE-2026-26268 раскрыта через responsible disclosure и исправлена в обновлениях Cursor.
Исследователи и вендоры рекомендуют:
-
не открывать непроверенные репозитории в AI-IDE;
-
отключать автоматические действия агента;
-
ограничивать права среды выполнения;
-
проверять Git hooks и скрытые директории.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
