DuneSlide, CurXecute e EchoLeak: a onda de CVEs 9.3 a 9.8 que transformou copilots de IA em vetor de RCE
DuneSlide (CVE-2026-50548/50549) leva o Cursor a RCE zero-click. Junto com EchoLeak e CurXecute, marca a virada de prompt injection para exploração de máquina.
Resumo: em 1º de julho de 2026, a Cato Networks divulgou DuneSlide, um par de vulnerabilidades zero-click no Cursor IDE (CVE-2026-50548 e CVE-2026-50549), ambas com CVSS 9.8. Elas se somam a uma sequência que começou em 2025 com EchoLeak no Microsoft 365 Copilot (CVE-2025-32711, CVSS 9.3), passou por CurXecute (CVE-2025-54135, CVSS 8.6) e MCPoison (CVE-2025-54136) no próprio Cursor e continuou com CVE-2025-53773, execução remota de código via prompt injection em pull requests que passavam pelo GitHub Copilot e Visual Studio (CVSS 9.6). O padrão é claro: quando um agente de IA carrega contexto de fonte externa e tem privilégio de escrever no ambiente do usuário, prompt injection deixa de ser “bug de linguagem” e passa a ser vetor de RCE.
Anatomia dos três ataques
DuneSlide (CVE-2026-50548 e CVE-2026-50549)
DuneSlide explora falhas no sandbox do Cursor. A primeira (50548) manipula o parâmetro de working directory que o próprio sandbox usa para construir suas fronteiras — o atacante consegue escrever no binário cursorsandbox, e comandos “sandboxed” futuros passam a rodar sem restrição. A segunda (50549) abusa da canonicalização de caminhos: com um symlink, o atacante contorna proteções de escrita fora dos limites. Ambas são zero-click: bastam um MCP server malicioso ou um resultado de busca web contaminado. Corrigidas no Cursor 3.0 (2 de abril de 2026).
CurXecute e MCPoison
Em 2025, a Aim Labs mostrou que qualquer entrada nova no ~/.cursor/mcp.json era executada sem confirmação. Isso permitiu que uma sugestão de edição feita pelo agente já disparasse comando controlado por terceiros — mesmo se o usuário recusasse a sugestão. A Check Point complementou com MCPoison: uma vez aprovado o MCP, o atacante podia trocar seu comportamento silenciosamente e obter RCE persistente em toda abertura do projeto.
EchoLeak
EchoLeak foi o primeiro caso real de zero-click prompt injection em LLM em produção. Um e-mail preparado, sem que o usuário clicasse em nada, orientava o Microsoft 365 Copilot a acessar arquivos internos e a devolver o conteúdo para um servidor externo. Contornava classificadores XPIA, escapava de redação de links via Markdown de referência e usava proxies de Teams permitidos pela política de conteúdo.
CVE-2025-53773 — GitHub Copilot e Visual Studio
Aqui o alvo foi o arquivo .vscode/settings.json. Ao ativar chat.tools.autoApprove: true — o chamado “YOLO mode” — o agente perdia a exigência de confirmação e passava a rodar shell sem trava. O ataque escondia instruções em código-fonte, páginas web ou issues, muitas vezes com caracteres Unicode invisíveis. Corrigido no Patch Tuesday de agosto de 2025.
Por que importa e status no Brasil
Empresas brasileiras adotaram Cursor, GitHub Copilot e Microsoft 365 Copilot em ritmo acelerado nos últimos 18 meses. Muitas com política de segurança que ainda trata IDE como “ferramenta de produtividade” — não como agente com privilégio de execução. Ao mesmo tempo, o guia conjunto dos Five Eyes de julho e as diretrizes preliminares da ANPD já colocam segurança de agentes como fronteira. O caminho brasileiro para os próximos 90 dias é operacional: inventário de agentes com privilégio de escrita, monitoramento de mudanças em arquivos de configuração (mcp.json, settings.json), bloqueio de auto-approve por default e sandboxing por container.
Riscos e limitações
Nenhum patch elimina o problema de fundo: LLMs não distinguem instrução privilegiada de conteúdo não confiável dentro do mesmo contexto. Enquanto isso não muda, cada nova integração (MCP, plugin, memória persistente) abre novo vetor. Estudos apontam sucesso de prompt injection entre 50% e 84% dependendo do sistema e do número de tentativas. A recomendação padrão — menor privilégio, aprovação humana em ações irreversíveis, isolamento — não é opcional.
SWOT — segurança de copilots em 2026
.pn-swot{display:grid;grid-template-columns:1fr 1fr;gap:12px;margin:20px 0;font-family:inherit}
.pn-swot .pn-q{padding:16px 18px;border-radius:8px;color:#fff}
.pn-swot .pn-q h4{margin:0 0 8px 0;font-size:1.05em;letter-spacing:.5px}
.pn-swot .pn-q ul{margin:0;padding-left:18px}
.pn-swot .pn-f{background:#1b7a3a}
.pn-swot .pn-fr{background:#d17d18}
.pn-swot .pn-o{background:#1d5fa8}
.pn-swot .pn-a{background:#a12727}
@media(max-width:640px){.pn-swot{grid-template-columns:1fr}}
Forças
- Fabricantes respondem com patches em semanas (Cursor 3.0 já corrige)
- Comunidade de pesquisa está madura: Cato, Aim Labs, Check Point
- Frameworks (OWASP LLM Top 10, Five Eyes) trazem taxonomia clara
- MCP com sandbox forte reduz área de ataque
Fraquezas
- Copilots rodam com privilégio de dev — RCE tem impacto grande
- Sandbox de IDE não foi desenhado para agentes autônomos
- Prompt injection continua sem defesa universal
- Muitas equipes rodam versões antigas de IDE por semanas
Oportunidades
- Governança de agentes vira produto: revisão de MCP, alerts de config
- Consultorias de red team para agentes têm mercado aberto
- Assinatura de commits e sandboxing por container ganham espaço
- Regulação (Five Eyes, ANPD) puxa boas práticas para o mainstream
Ameaças
- Ataques passam a mirar cadeia de suprimentos (issues, PRs, docs, MCP servers)
- Zero-click chega a Copilot 365, Cursor e potencialmente Claude Code
- Impacto reputacional grande em fornecedores atingidos
- Exfiltração silenciosa de código-fonte e credenciais em escala
Cenário — o próximo movimento
Espera-se que MCP receba mecanismos de assinatura e whitelist ainda em 2026, e que IDEs adotem sandbox de segundo nível (por container) para agentes que executam comandos. O OWASP LLM Top 10 de 2026 já elevou prompt injection a LLM01, e novas categorias como agent supply chain tendem a entrar. Para o Brasil, o cenário provável é ANPD e Serpro publicarem recomendações específicas para agentes de IA em ambientes corporativos até o fim do ano.
Conclusão prática
Se sua empresa usa Cursor, atualize já para a versão 3.0 ou superior. Se roda Copilot 365, confirme que o servidor da Microsoft está atualizado e revise permissões de auditoria. Se está construindo agente próprio, adote três controles não-negociáveis: (i) menor privilégio por default; (ii) revisão obrigatória para mudanças em arquivos de configuração; (iii) segmentação por container por sessão de agente. E monitore MCP como monitora dependência: cada novo servidor é uma nova cadeia de suprimentos. Este é assunto de segurança da informação, não de produtividade — vale envolver profissionais de segurança dedicados antes de qualquer novo rollout.
Fonte original: Cato Networks — DuneSlide. Referências: Sentra sobre EchoLeak e Embrace The Red sobre CVE-2025-53773.




