بسته شواهد: چگونه نقص «DuneSlide» امنیت ویرایشگر کد هوش مصنوعی را بازتعریف میکند
محققان امنیتی یک آسیبپذیری حیاتی «بدون نیاز به کلیک» (zero-click) را در ویرایشگر کد هوش مصنوعی Cursor کشف و وصله کردند، که چالش فزاینده ایمنسازی عوامل کدنویسی خودکار را برجسته میکند. این کشف یک نقشه راه حیاتی برای توسعهدهندگان فراهم میکند تا ابزارهای هوش مصنوعی را بدون به خطر انداختن یکپارچگی سیستم، به طور ایمن ادغام کنند.
به قلم تیم سردبیری کوهستان
این خبر را به اشتراک بگذارید
- محققان امنیتی
- استدلال میکنند که عوامل هوش مصنوعی به پارادایمهای جعبه شنی کاملاً جدیدی نیاز دارند زیرا دادههای غیرقابل اعتماد را به طور خودکار جذب میکنند.
- توسعهدهندگان ابزارهای هوش مصنوعی
- بر تکرار سریع مرزهای امنیتی، ضمن حفظ اتوماسیون بدون اصطکاک که ابزارهای کدنویسی هوش مصنوعی را ارزشمند میسازد، تمرکز میکنند.
- مدافعان فناوری اطلاعات سازمانی
- بر نیاز به کنترل نسخه سختگیرانه، سیاستهای شبکه با اعتماد صفر و ممیزی ادغامهای هوش مصنوعی شخص ثالث برای جلوگیری از حملات زنجیره تأمین تأکید میکنند.
زوایای پوششدادهنشده
- · مشارکتکنندگان مستقل متنباز
- · بازیگران تهدید دولت-ملت
چرا مهم است
همانطور که عوامل کدنویسی هوش مصنوعی برای اجرای دستورات و خواندن دادههای خارجی استقلال بیشتری پیدا میکنند، بردارهای حمله جدیدی را به زنجیره تأمین نرمافزار معرفی میکنند. درک اینکه چگونه DuneSlide از سد جعبههای شنی (sandboxes) امنیتی عبور کرد، برای توسعهدهندگان ضروری است تا بتوانند بدون افشای ماشینهای محلی و شبکههای شرکتی خود در برابر سوءاستفادههای «بدون نیاز به کلیک»، به طور ایمن از هوش مصنوعی استفاده کنند.
نکات کلیدی
- محققان امنیتی دو نقص حیاتی اجرای کد از راه دور بدون نیاز به کلیک (zero-click RCE) را در ویرایشگر کد هوش مصنوعی Cursor کشف کردند.
- این آسیبپذیریها، که DuneSlide نامیده میشوند، به مهاجمان اجازه میدادند از طریق تزریق غیرمستقیم پرامپت، از جعبه شنی امنیتی ویرایشگر فرار کنند.
- هیچ تعامل کاربری لازم نبود؛ عامل هوش مصنوعی صرفاً باید دادههای مسموم را از یک جستجوی وب یا سرویس متصل میخواند.
- Cursor آسیبپذیریها را در نسخه ۳.۰، که ماهها قبل از افشای عمومی منتشر شد، وصله کرد.
- این کشف، چالشهای ساختاری ایمنسازی عوامل خودکار هوش مصنوعی که دادههای خارجی غیرقابل اعتماد را جذب میکنند، برجسته میکند.
ادغام هوش مصنوعی در توسعه نرمافزار، نحوه نگارش کد را به طور اساسی تسریع کرده است، اما همچنین دستههای کاملاً جدیدی از آسیبپذیریهای امنیتی را نیز معرفی کرده است. در یادآوری آشکاری از این خطرات نوظهور، محققان امنیتی در آزمایشگاههای هوش مصنوعی Cato اخیراً دو نقص حیاتی را در ویرایشگر کد هوش مصنوعی محبوب Cursor فاش کردند.[1]
این آسیبپذیریها که «DuneSlide» نامیده میشوند، به یک مهاجم اجازه میدهند تا کد دلخواه را روی دستگاه توسعهدهنده بدون نیاز به حتی یک کلیک یا تأیید اجرا کند. در حالی که این نقصها حداکثر امتیاز شدت CVSS یعنی ۹.۸ را دارند، جامعه امنیت سایبری این افشاگری را به عنوان یک پیروزی دفاعی بزرگ تلقی میکند. این آسیبپذیریها به طور مسئولانه گزارش شده و ماهها قبل از اعلام عمومی، در نسخه ۳.۰ Cursor به طور کامل وصله شدند و یک طرح اولیه حیاتی برای ایمنسازی عوامل کدنویسی خودکار در اختیار صنعت قرار دادند.[1][2]
اهمیت کشف DuneSlide ناشی از ردپای گسترده Cursor در اکوسیستم نرمافزار سازمانی است. بر اساس برآوردهای صنعتی، این محیط توسعه یکپارچه (IDE) مبتنی بر هوش مصنوعی در حال حاضر توسط بیش از نیمی از شرکتهای Fortune 500 استفاده میشود. یک رخنه در این لایه از زنجیره تأمین نرمافزار میتواند به طور نظری به مهاجمان اجازه دسترسی به کد منبع اختصاصی، اعتبارنامههای تولید و خطوط لوله یکپارچهسازی مداوم را بدهد.[2][4]
برای درک نحوه عملکرد DuneSlide، لازم است مکانیک «تزریق غیرمستقیم پرامپت» (indirect prompt injection) را بررسی کنیم. برخلاف هک سنتی، که در آن مهاجم مستقیماً از یک باگ نرمافزاری سوءاستفاده میکند، تزریق پرامپت خود مدل هوش مصنوعی را به عنوان یک «معاون گیج» در نظر میگیرد. مهاجم دستورالعملهای مخرب را در داخل متن غیرفعالی پنهان میکند که انتظار میرود عامل هوش مصنوعی به طور خودکار آن را بخواند.[1][5]
در مورد Cursor، این متن غیرفعال میتواند پاسخی از یک سرور متصل به پروتکل زمینه مدل (MCP)، یک نتیجه جستجوی وب، یا یک فایل به ظاهر بیضرر در یک مخزن دانلود شده باشد. هنگامی که توسعهدهنده یک سؤال معمولی از هوش مصنوعی میپرسد، عامل دادههای آلوده را جذب میکند، دستورالعملهای پنهان را به عنوان دستورات قابل اعتماد تفسیر میکند و سعی میکند آنها را از طرف کاربر اجرا کند.[2][3]
توسعهدهندگان Cursor از خطرات اجرای خودکار آگاه بودند. با شروع از خط انتشار ۲.x، این ویرایشگر تمام دستورات ترمینال تولید شده توسط هوش مصنوعی را به طور پیشفرض در داخل یک جعبه شنی (sandbox) محدود اجرا میکرد. این لایه جداسازی برای جلوگیری از خستگی تأیید طراحی شده بود—که به عامل اجازه میداد دستورات مفید را به طور خودکار اجرا کند، در حالی که به طور نظری مانع از اصلاح فایلهای حیاتی سیستم میشد.[2][4]
آسیبپذیریهای DuneSlide، با این حال، نشان دادند که چگونه میتوان این جعبه شنی را از درون شکست. نقص اول، که با عنوان CVE-2026-50548 پیگیری میشود، از یک تنظیم خاص در معماری جعبه شنی سوءاستفاده کرد. جعبه شنی به طور طبیعی به عامل هوش مصنوعی اجازه میدهد تا فایلها را در دایرکتوری کاری فعلی خود بنویسد. محققان کشف کردند که با استفاده از تزریق پرامپت برای دستکاری پارامتر working_directory، عامل میتواند جعبه شنی را فریب دهد تا نوشتن در مسیرهای سیستم محدود شده را تأیید کند.[1][3]
آسیبپذیریهای DuneSlide، با این حال، نشان دادند که چگونه میتوان این جعبه شنی را از درون شکست.
هنگامی که عامل توانایی نوشتن در خارج از پوشه پروژه را به دست آورد، مسیر سوءاستفاده به طرز نگرانکنندهای ساده شد. دستورالعملهای تزریق شده، هوش مصنوعی را هدایت کردند تا خود فایل اجرایی cursorsandbox را بازنویسی کند. با جایگزینی کمککننده جعبه شنی با یک اسکریپت مخرب، مهاجم عملاً سیستم مهار را خنثی کرد و اطمینان حاصل کرد که تمام دستورات بعدی با امتیازات کامل سیستم اجرا میشوند.[1][2]
آسیبپذیری دوم، CVE-2026-50549، از طریق یک مکانیسم کاملاً مستقل به فرار مشابهی از جعبه شنی دست یافت. این نقص از موارد حاشیهای در نحوه حل مسیرهای فایل و پیوندهای نمادین (symlinks) توسط Cursor سوءاستفاده کرد. یک مهاجم میتوانست به عامل دستور دهد تا یک پیوند نمادین در داخل دایرکتوری پروژه تأیید شده ایجاد کند که به طور مخفیانه به یک فایل حساس در خارج از آن اشاره داشت.[1][3]
از آنجایی که منطق استانداردسازی مسیر عامل نتوانست مقصد نهایی پیوند نمادین را به درستی تأیید کند، جعبه شنی اجازه نوشتن خارج از محدوده را صادر کرد. هر دوی این آسیبپذیریها یک چالش ساختاری در ابزارهای هوش مصنوعی مدرن را برجسته میکنند: دشواری حفظ مرزهای امنیتی سختگیرانه زمانی که به خود عامل استقلال داده میشود تا پارامترهای عملیاتی خود را تعریف کند.[1]
ماهیت «بدون نیاز به کلیک» این حملات نشاندهنده یک تغییر پارادایم در مدلسازی تهدید است. از لحاظ تاریخی، توسعهدهندگان آموزش دیده بودند که فایلهای اجرایی را به دقت بررسی کنند و از اجرای اسکریپتهای غیرقابل اعتماد خودداری کنند. با تزریق غیرمستقیم پرامپت، صرفاً عمل خواندن یک صفحه وب آلوده یا اشکالزدایی یک گزارش خطای مسموم توسط عامل هوش مصنوعی، برای راهاندازی یک رخنه کامل سیستم کافی است.[2][5]
خوشبختانه، جدول زمانی افشای DuneSlide نشاندهنده یک وضعیت امنیتی در حال بلوغ در اکوسیستم توسعه هوش مصنوعی است. آزمایشگاههای هوش مصنوعی Cato این نقصها را به طور خصوصی در فوریه ۲۰۲۶ گزارش کردند. پس از بررسی اولیه، تیم مهندسی Cursor با محققان همکاری کرد تا معماری جعبه شنی را بازنگری کند و وصله جامع را در Cursor 3.0 در ۲ آوریل منتشر کرد.[1][4]
تحلیلگران امنیتی خاطرنشان میکنند که DuneSlide یک حادثه منفرد نیست، بلکه آخرین مورد در مجموعهای از فرارهای جعبه شنی است که ابزارهای عاملیتمحور (agentic tools) را تحت تأثیر قرار میدهد. این مورد به دنبال افشاگریهای مشابه در سال ۲۰۲۵، مانند آسیبپذیریهای CurXecute و MCPoison، است که آنها نیز از تزریق پرامپت برای دور زدن محافظهای IDE استفاده کردند. این کشفهای مکرر نشان میدهد که کل صنعت هنوز در حال کالیبره کردن تعادل بین استقلال هوش مصنوعی و امنیت میزبان است.[2][4]
برای مدافعان فناوری اطلاعات سازمانی، بسته شواهد پیرامون DuneSlide اطلاعات واضح و قابل اجرا ارائه میدهد. اولویت فوری اطمینان از این است که همه تیمهای توسعه به Cursor 3.0 یا نسخههای جدیدتر بهروزرسانی کردهاند. فراتر از وصله کردن، تیمهای امنیتی به طور فزایندهای به توسعهدهندگان توصیه میکنند که اتصالات MCP خود را ممیزی کنند و با تمام دادههای خارجی جذب شده توسط مدلهای هوش مصنوعی به عنوان دادههای بالقوه خصمانه رفتار کنند.[5]
در نهایت، آسیبپذیریهای DuneSlide به عنوان یک آزمون استرس حیاتی برای نسل بعدی توسعه نرمافزار عمل میکنند. با افشای شکنندگی جعبههای شنی اولیه هوش مصنوعی، محققان در حال اجبار به ایجاد معماریهای انعطافپذیرتر و با اعتماد صفر (zero-trust) هستند. همانطور که عوامل هوش مصنوعی وظایف خودکار پیچیدهتری را بر عهده میگیرند، درسهای آموخته شده از ایمنسازی ابزارهایی مانند Cursor برای ایمنی اقتصاد دیجیتال گستردهتر، اساسی خواهد بود.[4]
روند رویداد
Feb 2026
آزمایشگاههای هوش مصنوعی Cato آسیبپذیریهای DuneSlide را به طور خصوصی به تیم مهندسی Cursor افشا میکند.
Apr 2026
Cursor نسخه ۳.۰ را منتشر میکند و نقصهای فرار از جعبه شنی را به طور کامل وصله میکند.
Jun 2026
شناسههای رسمی CVE (CVE-2026-50548 و CVE-2026-50549) به آسیبپذیریها اختصاص داده میشوند.
Jul 2026
آزمایشگاههای هوش مصنوعی Cato جزئیات فنی زنجیره سوءاستفاده DuneSlide را به صورت عمومی منتشر میکند.
بررسی عمیق دیدگاهها
دیدگاه محققان امنیتی
بر نقصهای ساختاری عوامل خودکار هوش مصنوعی و نیاز به جعبه شنی با اعتماد صفر تمرکز دارد.
تحلیلگران امنیتی استدلال میکنند که DuneSlide یک نقص اساسی در نحوه طراحی عوامل اولیه هوش مصنوعی را آشکار میکند. از آنجایی که این ابزارها برای واکشی و پردازش خودکار دادهها از وب باز یا سرورهای شخص ثالث ساخته شدهاند، دائماً ورودیهای غیرقابل اعتماد را جذب میکنند. محققان تأکید میکنند که جعبه شنی سنتی—که فرض میکند کاربر تنها موجودیتی است که دستورات را اجرا میکند—زمانی که هوش مصنوعی به عنوان یک واسطه عمل میکند، کافی نیست. آنها طرفدار رفتار با تمام دادههای جذب شده توسط هوش مصنوعی به عنوان دادههای خصمانه و اجرای لایههای جداسازی سختگیرانه و قابل تأیید ریاضی هستند.
دیدگاه مدافعان سازمانی
اولوریتبندی امنیت زنجیره تأمین، استقرار سریع وصله و محدود کردن شعاع انفجار محیطهای توسعهدهنده به خطر افتاده.
برای تیمهای فناوری اطلاعات و امنیتی شرکتها، نگرانی اصلی خطر زنجیره تأمین ناشی از دستگاههای توسعهدهنده به خطر افتاده است. یک RCE بدون نیاز به کلیک در یک IDE پرکاربرد میتواند به مهاجمان اجازه دهد تا به طور مخفیانه درهای پشتی را در کد تولید تزریق کنند یا اعتبارنامههای ابری را به سرقت ببرند. مدافعان با اجرای دستورات بهروزرسانی سختگیرانه—مانند الزام Cursor 3.0—و محدود کردن سرویسهای خارجی که عوامل هوش مصنوعی مجاز به پرسوجو از طریق پروتکل زمینه مدل (MCP) هستند، پاسخ میدهند. تمرکز آنها بر مهار شعاع انفجار در صورت ربوده شدن موفقیتآمیز یک عامل است.
آنچه نمیدانیم
- اینکه آیا بازیگران تهدید توانستند قبل از انتشار Cursor 3.0، با موفقیت از آسیبپذیریهای DuneSlide در عمل سوءاستفاده کنند یا خیر.
- چه تعداد از تیمهای توسعه سازمانی هنوز از نسخههای قدیمی و آسیبپذیر ۲.x محیط توسعه یکپارچه (IDE) Cursor استفاده میکنند.
- اینکه آیا فرارهای مشابه جعبه شنی بدون نیاز به کلیک در عوامل کدنویسی هوش مصنوعی رقیب که از پروتکل زمینه مدل (MCP) استفاده میکنند، وجود دارد یا خیر.
اصطلاحات کلیدی
- تزریق پرامپت (Prompt Injection)
- یک حمله سایبری که در آن دستورالعملهای مخرب به عنوان متن عادی پنهان میشوند و مدل هوش مصنوعی را فریب میدهند تا دستورات ناخواسته را اجرا کند.
- RCE بدون نیاز به کلیک (Zero-Click RCE)
- یک آسیبپذیری اجرای کد از راه دور که به مهاجم اجازه میدهد بدون هیچ تعامل یا تأییدی از سوی قربانی، سیستم را به خطر اندازد.
- فرار از جعبه شنی (Sandbox Escape)
- یک رخنه امنیتی که در آن کد مخرب از یک محیط ایزوله تست یا اجرا خارج میشود تا به سیستم عامل گستردهتر دسترسی پیدا کند.
- پروتکل زمینه مدل (MCP)
- یک استاندارد باز که مدلهای هوش مصنوعی را قادر میسازد تا زمینه و دادهها را از ابزارها و سرویسهای خارجی واکشی کنند.
- پیوند نمادین (Symlink)
- فایلی که به عنوان مرجع یا میانبر برای یک فایل یا دایرکتوری دیگر در سیستم عامل عمل میکند.
پرسشهای متداول
آسیبپذیریهای DuneSlide چیست؟
DuneSlide به دو نقص حیاتی اجرای کد از راه دور بدون نیاز به کلیک (RCE) در ویرایشگر کد هوش مصنوعی Cursor اشاره دارد که با عناوین CVE-2026-50548 و CVE-2026-50549 پیگیری میشوند.
تزریق پرامپت بدون نیاز به کلیک چگونه کار میکند؟
مهاجم دستورالعملهای مخرب را در دادههایی که عامل هوش مصنوعی به طور خودکار میخواند، مانند نتیجه جستجوی وب، پنهان میکند. هوش مصنوعی متن را جذب کرده و دستورات پنهان را بدون نیاز به کلیک کاربر اجرا میکند.
آیا محیط توسعه من در حال حاضر در معرض خطر است؟
اگر از Cursor نسخه ۳.۰ یا جدیدتر استفاده میکنید، آسیبپذیریهای DuneSlide به طور کامل وصله شدهاند. کاربران نسخههای قدیمیتر ۲.x باید فوراً بهروزرسانی کنند.
پروتکل زمینه مدل (MCP) چیست؟
MCP استانداردی است که به عوامل هوش مصنوعی اجازه میدهد تا به طور ایمن به خدمات خارجی، مانند پایگاههای داده، جستجوهای وب یا APIهای سازمانی متصل شده و دادهها را از آنها بخوانند.
منابع
[1]Cato Networksمحققان امنیتی
Critical Vulnerabilities Discovered in Cursor IDE
مطالعه در Cato Networks →[2]The Hacker Newsتوسعهدهندگان ابزارهای هوش مصنوعی
Two flaws in Cursor AI code editor could let a single prompt break out of safety sandbox
مطالعه در The Hacker News →[3]SecurityWeekمدافعان فناوری اطلاعات سازمانی
Cursor Patched Critical Vulnerabilities Enabling Prompt Injection Attacks
مطالعه در SecurityWeek →[4]Let's Data Scienceمحققان امنیتی
Researchers Disclose Zero-Click RCE Flaws In Cursor IDE
مطالعه در Let's Data Science →[5]Hard2Bitمدافعان فناوری اطلاعات سازمانی
Frequently asked questions: DuneSlide vulnerabilities in Cursor AI
مطالعه در Hard2Bit →[6]Geordie AIمدافعان فناوری اطلاعات سازمانی
Cursor Vulnerabilities Enable Arbitrary Code Execution
مطالعه در Geordie AI →
هر زاویه. هر روز.
دریافت فناوری اخبار همراه با پوشش کامل منابع و تحلیل دیدگاهها، مستقیم در صندوق ورودی شما.









