Resumo: em 1º de julho de 2026, a Cato Networks divulgou DuneSlide, um par de vulnerabilidades zero-click no Cursor IDE (CVE-2026-50548 e CVE-2026-50549), ambas com CVSS 9.8. Elas se somam a uma sequência que começou em 2025 com EchoLeak no Microsoft 365 Copilot (CVE-2025-32711, CVSS 9.3), passou por CurXecute (CVE-2025-54135, CVSS 8.6) e MCPoison (CVE-2025-54136) no próprio Cursor e continuou com CVE-2025-53773, execução remota de código via prompt injection em pull requests que passavam pelo GitHub Copilot e Visual Studio (CVSS 9.6). O padrão é claro: quando um agente de IA carrega contexto de fonte externa e tem privilégio de escrever no ambiente do usuário, prompt injection deixa de ser “bug de linguagem” e passa a ser vetor de RCE.
DuneSlide explora falhas no sandbox do Cursor. A primeira (50548) manipula o parâmetro de working directory que o próprio sandbox usa para construir suas fronteiras — o atacante consegue escrever no binário cursorsandbox, e comandos “sandboxed” futuros passam a rodar sem restrição. A segunda (50549) abusa da canonicalização de caminhos: com um symlink, o atacante contorna proteções de escrita fora dos limites. Ambas são zero-click: bastam um MCP server malicioso ou um resultado de busca web contaminado. Corrigidas no Cursor 3.0 (2 de abril de 2026).
Em 2025, a Aim Labs mostrou que qualquer entrada nova no ~/.cursor/mcp.json era executada sem confirmação. Isso permitiu que uma sugestão de edição feita pelo agente já disparasse comando controlado por terceiros — mesmo se o usuário recusasse a sugestão. A Check Point complementou com MCPoison: uma vez aprovado o MCP, o atacante podia trocar seu comportamento silenciosamente e obter RCE persistente em toda abertura do projeto.
EchoLeak foi o primeiro caso real de zero-click prompt injection em LLM em produção. Um e-mail preparado, sem que o usuário clicasse em nada, orientava o Microsoft 365 Copilot a acessar arquivos internos e a devolver o conteúdo para um servidor externo. Contornava classificadores XPIA, escapava de redação de links via Markdown de referência e usava proxies de Teams permitidos pela política de conteúdo.
Aqui o alvo foi o arquivo .vscode/settings.json. Ao ativar chat.tools.autoApprove: true — o chamado “YOLO mode” — o agente perdia a exigência de confirmação e passava a rodar shell sem trava. O ataque escondia instruções em código-fonte, páginas web ou issues, muitas vezes com caracteres Unicode invisíveis. Corrigido no Patch Tuesday de agosto de 2025.
Empresas brasileiras adotaram Cursor, GitHub Copilot e Microsoft 365 Copilot em ritmo acelerado nos últimos 18 meses. Muitas com política de segurança que ainda trata IDE como “ferramenta de produtividade” — não como agente com privilégio de execução. Ao mesmo tempo, o guia conjunto dos Five Eyes de julho e as diretrizes preliminares da ANPD já colocam segurança de agentes como fronteira. O caminho brasileiro para os próximos 90 dias é operacional: inventário de agentes com privilégio de escrita, monitoramento de mudanças em arquivos de configuração (mcp.json, settings.json), bloqueio de auto-approve por default e sandboxing por container.
Nenhum patch elimina o problema de fundo: LLMs não distinguem instrução privilegiada de conteúdo não confiável dentro do mesmo contexto. Enquanto isso não muda, cada nova integração (MCP, plugin, memória persistente) abre novo vetor. Estudos apontam sucesso de prompt injection entre 50% e 84% dependendo do sistema e do número de tentativas. A recomendação padrão — menor privilégio, aprovação humana em ações irreversíveis, isolamento — não é opcional.
.pn-swot{display:grid;grid-template-columns:1fr 1fr;gap:12px;margin:20px 0;font-family:inherit}
.pn-swot .pn-q{padding:16px 18px;border-radius:8px;color:#fff}
.pn-swot .pn-q h4{margin:0 0 8px 0;font-size:1.05em;letter-spacing:.5px}
.pn-swot .pn-q ul{margin:0;padding-left:18px}
.pn-swot .pn-f{background:#1b7a3a}
.pn-swot .pn-fr{background:#d17d18}
.pn-swot .pn-o{background:#1d5fa8}
.pn-swot .pn-a{background:#a12727}
@media(max-width:640px){.pn-swot{grid-template-columns:1fr}}
Espera-se que MCP receba mecanismos de assinatura e whitelist ainda em 2026, e que IDEs adotem sandbox de segundo nível (por container) para agentes que executam comandos. O OWASP LLM Top 10 de 2026 já elevou prompt injection a LLM01, e novas categorias como agent supply chain tendem a entrar. Para o Brasil, o cenário provável é ANPD e Serpro publicarem recomendações específicas para agentes de IA em ambientes corporativos até o fim do ano.
Se sua empresa usa Cursor, atualize já para a versão 3.0 ou superior. Se roda Copilot 365, confirme que o servidor da Microsoft está atualizado e revise permissões de auditoria. Se está construindo agente próprio, adote três controles não-negociáveis: (i) menor privilégio por default; (ii) revisão obrigatória para mudanças em arquivos de configuração; (iii) segmentação por container por sessão de agente. E monitore MCP como monitora dependência: cada novo servidor é uma nova cadeia de suprimentos. Este é assunto de segurança da informação, não de produtividade — vale envolver profissionais de segurança dedicados antes de qualquer novo rollout.
Fonte original: Cato Networks — DuneSlide. Referências: Sentra sobre EchoLeak e Embrace The Red sobre CVE-2025-53773.
Atacantes injetaram info-stealer, cripto-stealer e RAT em quatro pacotes AsyncAPI. Malware usa IPFS e nós…
Rede alemã de supermercados notifica clientes online após invasores exfiltrarem nomes, telefones, e-mails e datas…
Chaotic Eclipse publicou o LegacyHive, exploit funcional contra o User Profile Service em todas as…
ANPD colocou IA entre os 4 eixos de fiscalização 2026-2027, planejou 20 ações para 2027…
Nemotron 3 Ultra chega com 550B/55B ativos em MoE Mamba-Attention, 400+ tok/s e liderança entre…
Google evoluiu a Vertex AI no Gemini Enterprise Agent Platform: ADK Python-native, Memory Bank persistente,…