DuneSlide, CurXecute e EchoLeak: a onda de CVEs 9.3 a 9.8 que transformou copilots de IA em vetor de RCE

Resumo: em 1º de julho de 2026, a Cato Networks divulgou DuneSlide, um par de vulnerabilidades zero-click no Cursor IDE (CVE-2026-50548 e CVE-2026-50549), ambas com CVSS 9.8. Elas se somam a uma sequência que começou em 2025 com EchoLeak no Microsoft 365 Copilot (CVE-2025-32711, CVSS 9.3), passou por CurXecute (CVE-2025-54135, CVSS 8.6) e MCPoison (CVE-2025-54136) no próprio Cursor e continuou com CVE-2025-53773, execução remota de código via prompt injection em pull requests que passavam pelo GitHub Copilot e Visual Studio (CVSS 9.6). O padrão é claro: quando um agente de IA carrega contexto de fonte externa e tem privilégio de escrever no ambiente do usuário, prompt injection deixa de ser “bug de linguagem” e passa a ser vetor de RCE.

Anatomia dos três ataques

DuneSlide (CVE-2026-50548 e CVE-2026-50549)

DuneSlide explora falhas no sandbox do Cursor. A primeira (50548) manipula o parâmetro de working directory que o próprio sandbox usa para construir suas fronteiras — o atacante consegue escrever no binário cursorsandbox, e comandos “sandboxed” futuros passam a rodar sem restrição. A segunda (50549) abusa da canonicalização de caminhos: com um symlink, o atacante contorna proteções de escrita fora dos limites. Ambas são zero-click: bastam um MCP server malicioso ou um resultado de busca web contaminado. Corrigidas no Cursor 3.0 (2 de abril de 2026).

CurXecute e MCPoison

Em 2025, a Aim Labs mostrou que qualquer entrada nova no ~/.cursor/mcp.json era executada sem confirmação. Isso permitiu que uma sugestão de edição feita pelo agente já disparasse comando controlado por terceiros — mesmo se o usuário recusasse a sugestão. A Check Point complementou com MCPoison: uma vez aprovado o MCP, o atacante podia trocar seu comportamento silenciosamente e obter RCE persistente em toda abertura do projeto.

EchoLeak

EchoLeak foi o primeiro caso real de zero-click prompt injection em LLM em produção. Um e-mail preparado, sem que o usuário clicasse em nada, orientava o Microsoft 365 Copilot a acessar arquivos internos e a devolver o conteúdo para um servidor externo. Contornava classificadores XPIA, escapava de redação de links via Markdown de referência e usava proxies de Teams permitidos pela política de conteúdo.

CVE-2025-53773 — GitHub Copilot e Visual Studio

Aqui o alvo foi o arquivo .vscode/settings.json. Ao ativar chat.tools.autoApprove: true — o chamado “YOLO mode” — o agente perdia a exigência de confirmação e passava a rodar shell sem trava. O ataque escondia instruções em código-fonte, páginas web ou issues, muitas vezes com caracteres Unicode invisíveis. Corrigido no Patch Tuesday de agosto de 2025.

Por que importa e status no Brasil

Empresas brasileiras adotaram Cursor, GitHub Copilot e Microsoft 365 Copilot em ritmo acelerado nos últimos 18 meses. Muitas com política de segurança que ainda trata IDE como “ferramenta de produtividade” — não como agente com privilégio de execução. Ao mesmo tempo, o guia conjunto dos Five Eyes de julho e as diretrizes preliminares da ANPD já colocam segurança de agentes como fronteira. O caminho brasileiro para os próximos 90 dias é operacional: inventário de agentes com privilégio de escrita, monitoramento de mudanças em arquivos de configuração (mcp.json, settings.json), bloqueio de auto-approve por default e sandboxing por container.

Riscos e limitações

Nenhum patch elimina o problema de fundo: LLMs não distinguem instrução privilegiada de conteúdo não confiável dentro do mesmo contexto. Enquanto isso não muda, cada nova integração (MCP, plugin, memória persistente) abre novo vetor. Estudos apontam sucesso de prompt injection entre 50% e 84% dependendo do sistema e do número de tentativas. A recomendação padrão — menor privilégio, aprovação humana em ações irreversíveis, isolamento — não é opcional.

SWOT — segurança de copilots em 2026

.pn-swot{display:grid;grid-template-columns:1fr 1fr;gap:12px;margin:20px 0;font-family:inherit}
.pn-swot .pn-q{padding:16px 18px;border-radius:8px;color:#fff}
.pn-swot .pn-q h4{margin:0 0 8px 0;font-size:1.05em;letter-spacing:.5px}
.pn-swot .pn-q ul{margin:0;padding-left:18px}
.pn-swot .pn-f{background:#1b7a3a}
.pn-swot .pn-fr{background:#d17d18}
.pn-swot .pn-o{background:#1d5fa8}
.pn-swot .pn-a{background:#a12727}
@media(max-width:640px){.pn-swot{grid-template-columns:1fr}}

Forças

  • Fabricantes respondem com patches em semanas (Cursor 3.0 já corrige)
  • Comunidade de pesquisa está madura: Cato, Aim Labs, Check Point
  • Frameworks (OWASP LLM Top 10, Five Eyes) trazem taxonomia clara
  • MCP com sandbox forte reduz área de ataque

Fraquezas

  • Copilots rodam com privilégio de dev — RCE tem impacto grande
  • Sandbox de IDE não foi desenhado para agentes autônomos
  • Prompt injection continua sem defesa universal
  • Muitas equipes rodam versões antigas de IDE por semanas

Oportunidades

  • Governança de agentes vira produto: revisão de MCP, alerts de config
  • Consultorias de red team para agentes têm mercado aberto
  • Assinatura de commits e sandboxing por container ganham espaço
  • Regulação (Five Eyes, ANPD) puxa boas práticas para o mainstream

Ameaças

  • Ataques passam a mirar cadeia de suprimentos (issues, PRs, docs, MCP servers)
  • Zero-click chega a Copilot 365, Cursor e potencialmente Claude Code
  • Impacto reputacional grande em fornecedores atingidos
  • Exfiltração silenciosa de código-fonte e credenciais em escala

Cenário — o próximo movimento

Espera-se que MCP receba mecanismos de assinatura e whitelist ainda em 2026, e que IDEs adotem sandbox de segundo nível (por container) para agentes que executam comandos. O OWASP LLM Top 10 de 2026 já elevou prompt injection a LLM01, e novas categorias como agent supply chain tendem a entrar. Para o Brasil, o cenário provável é ANPD e Serpro publicarem recomendações específicas para agentes de IA em ambientes corporativos até o fim do ano.

Conclusão prática

Se sua empresa usa Cursor, atualize já para a versão 3.0 ou superior. Se roda Copilot 365, confirme que o servidor da Microsoft está atualizado e revise permissões de auditoria. Se está construindo agente próprio, adote três controles não-negociáveis: (i) menor privilégio por default; (ii) revisão obrigatória para mudanças em arquivos de configuração; (iii) segmentação por container por sessão de agente. E monitore MCP como monitora dependência: cada novo servidor é uma nova cadeia de suprimentos. Este é assunto de segurança da informação, não de produtividade — vale envolver profissionais de segurança dedicados antes de qualquer novo rollout.

Fonte original: Cato Networks — DuneSlide. Referências: Sentra sobre EchoLeak e Embrace The Red sobre CVE-2025-53773.

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Share
Published by
Ninja

Recent Posts

Supply chain no npm: pacotes AsyncAPI com 2 milhões de downloads semanais tomados por malware híbrido de 91 mil linhas

Atacantes injetaram info-stealer, cripto-stealer e RAT em quatro pacotes AsyncAPI. Malware usa IPFS e nós…

1 hora ago

Lidl confirma vazamento de dados de clientes na Alemanha, Bélgica e Holanda via prestador terceirizado

Rede alemã de supermercados notifica clientes online após invasores exfiltrarem nomes, telefones, e-mails e datas…

1 hora ago

Pesquisador libera PoC de zero-day no Windows horas após o maior Patch Tuesday da história

Chaotic Eclipse publicou o LegacyHive, exploit funcional contra o User Profile Service em todas as…

1 hora ago

ANPD faz da IA um dos quatro eixos de fiscalização em 2026-2027, mira 20 ações em 2027 e assume coordenação do SIA

ANPD colocou IA entre os 4 eixos de fiscalização 2026-2027, planejou 20 ações para 2027…

5 horas ago

NVIDIA Nemotron 3 Ultra puxa 47,7 no Intelligence Index a 400 tok/s — e Jensen avisa: potência é o teto real da fábrica de IA

Nemotron 3 Ultra chega com 550B/55B ativos em MoE Mamba-Attention, 400+ tok/s e liderança entre…

5 horas ago

Gemini Enterprise Agent Platform mira o padrão corporativo de agentes: ADK processa 6 trilhões de tokens/mês, Memory Bank e agentes de dias

Google evoluiu a Vertex AI no Gemini Enterprise Agent Platform: ADK Python-native, Memory Bank persistente,…

5 horas ago