امنیت هوش مصنوعیتوضیح آسیب‌پذیریJul 4, 2026, 6:25 AM· 6 دقیقه مطالعه· #3 از 3 در فناوری

بسته شواهد: چگونه نقص «DuneSlide» امنیت ویرایشگر کد هوش مصنوعی را بازتعریف می‌کند

محققان امنیتی یک آسیب‌پذیری حیاتی «بدون نیاز به کلیک» (zero-click) را در ویرایشگر کد هوش مصنوعی Cursor کشف و وصله کردند، که چالش فزاینده ایمن‌سازی عوامل کدنویسی خودکار را برجسته می‌کند. این کشف یک نقشه راه حیاتی برای توسعه‌دهندگان فراهم می‌کند تا ابزارهای هوش مصنوعی را بدون به خطر انداختن یکپارچگی سیستم، به طور ایمن ادغام کنند.

به قلم تیم سردبیری کوهستان

محققان امنیتی 40%توسعه‌دهندگان ابزارهای هوش مصنوعی 35%مدافعان فناوری اطلاعات سازمانی 25%
محققان امنیتی
استدلال می‌کنند که عوامل هوش مصنوعی به پارادایم‌های جعبه شنی کاملاً جدیدی نیاز دارند زیرا داده‌های غیرقابل اعتماد را به طور خودکار جذب می‌کنند.
توسعه‌دهندگان ابزارهای هوش مصنوعی
بر تکرار سریع مرزهای امنیتی، ضمن حفظ اتوماسیون بدون اصطکاک که ابزارهای کدنویسی هوش مصنوعی را ارزشمند می‌سازد، تمرکز می‌کنند.
مدافعان فناوری اطلاعات سازمانی
بر نیاز به کنترل نسخه سختگیرانه، سیاست‌های شبکه با اعتماد صفر و ممیزی ادغام‌های هوش مصنوعی شخص ثالث برای جلوگیری از حملات زنجیره تأمین تأکید می‌کنند.

زوایای پوشش‌داده‌نشده

  • · مشارکت‌کنندگان مستقل متن‌باز
  • · بازیگران تهدید دولت-ملت

چرا مهم است

همانطور که عوامل کدنویسی هوش مصنوعی برای اجرای دستورات و خواندن داده‌های خارجی استقلال بیشتری پیدا می‌کنند، بردارهای حمله جدیدی را به زنجیره تأمین نرم‌افزار معرفی می‌کنند. درک اینکه چگونه DuneSlide از سد جعبه‌های شنی (sandboxes) امنیتی عبور کرد، برای توسعه‌دهندگان ضروری است تا بتوانند بدون افشای ماشین‌های محلی و شبکه‌های شرکتی خود در برابر سوءاستفاده‌های «بدون نیاز به کلیک»، به طور ایمن از هوش مصنوعی استفاده کنند.

نکات کلیدی

  • محققان امنیتی دو نقص حیاتی اجرای کد از راه دور بدون نیاز به کلیک (zero-click RCE) را در ویرایشگر کد هوش مصنوعی Cursor کشف کردند.
  • این آسیب‌پذیری‌ها، که DuneSlide نامیده می‌شوند، به مهاجمان اجازه می‌دادند از طریق تزریق غیرمستقیم پرامپت، از جعبه شنی امنیتی ویرایشگر فرار کنند.
  • هیچ تعامل کاربری لازم نبود؛ عامل هوش مصنوعی صرفاً باید داده‌های مسموم را از یک جستجوی وب یا سرویس متصل می‌خواند.
  • Cursor آسیب‌پذیری‌ها را در نسخه ۳.۰، که ماه‌ها قبل از افشای عمومی منتشر شد، وصله کرد.
  • این کشف، چالش‌های ساختاری ایمن‌سازی عوامل خودکار هوش مصنوعی که داده‌های خارجی غیرقابل اعتماد را جذب می‌کنند، برجسته می‌کند.
9.8
امتیاز شدت CVSS (از ۱۰)
3.0
نسخه Cursor حاوی وصله
>50%
شرکت‌های Fortune 500 که از Cursor استفاده می‌کنند

ادغام هوش مصنوعی در توسعه نرم‌افزار، نحوه نگارش کد را به طور اساسی تسریع کرده است، اما همچنین دسته‌های کاملاً جدیدی از آسیب‌پذیری‌های امنیتی را نیز معرفی کرده است. در یادآوری آشکاری از این خطرات نوظهور، محققان امنیتی در آزمایشگاه‌های هوش مصنوعی Cato اخیراً دو نقص حیاتی را در ویرایشگر کد هوش مصنوعی محبوب Cursor فاش کردند.[1]

این آسیب‌پذیری‌ها که «DuneSlide» نامیده می‌شوند، به یک مهاجم اجازه می‌دهند تا کد دلخواه را روی دستگاه توسعه‌دهنده بدون نیاز به حتی یک کلیک یا تأیید اجرا کند. در حالی که این نقص‌ها حداکثر امتیاز شدت CVSS یعنی ۹.۸ را دارند، جامعه امنیت سایبری این افشاگری را به عنوان یک پیروزی دفاعی بزرگ تلقی می‌کند. این آسیب‌پذیری‌ها به طور مسئولانه گزارش شده و ماه‌ها قبل از اعلام عمومی، در نسخه ۳.۰ Cursor به طور کامل وصله شدند و یک طرح اولیه حیاتی برای ایمن‌سازی عوامل کدنویسی خودکار در اختیار صنعت قرار دادند.[1][2]

اهمیت کشف DuneSlide ناشی از ردپای گسترده Cursor در اکوسیستم نرم‌افزار سازمانی است. بر اساس برآوردهای صنعتی، این محیط توسعه یکپارچه (IDE) مبتنی بر هوش مصنوعی در حال حاضر توسط بیش از نیمی از شرکت‌های Fortune 500 استفاده می‌شود. یک رخنه در این لایه از زنجیره تأمین نرم‌افزار می‌تواند به طور نظری به مهاجمان اجازه دسترسی به کد منبع اختصاصی، اعتبارنامه‌های تولید و خطوط لوله یکپارچه‌سازی مداوم را بدهد.[2][4]

برای درک نحوه عملکرد DuneSlide، لازم است مکانیک «تزریق غیرمستقیم پرامپت» (indirect prompt injection) را بررسی کنیم. برخلاف هک سنتی، که در آن مهاجم مستقیماً از یک باگ نرم‌افزاری سوءاستفاده می‌کند، تزریق پرامپت خود مدل هوش مصنوعی را به عنوان یک «معاون گیج» در نظر می‌گیرد. مهاجم دستورالعمل‌های مخرب را در داخل متن غیرفعالی پنهان می‌کند که انتظار می‌رود عامل هوش مصنوعی به طور خودکار آن را بخواند.[1][5]

در مورد Cursor، این متن غیرفعال می‌تواند پاسخی از یک سرور متصل به پروتکل زمینه مدل (MCP)، یک نتیجه جستجوی وب، یا یک فایل به ظاهر بی‌ضرر در یک مخزن دانلود شده باشد. هنگامی که توسعه‌دهنده یک سؤال معمولی از هوش مصنوعی می‌پرسد، عامل داده‌های آلوده را جذب می‌کند، دستورالعمل‌های پنهان را به عنوان دستورات قابل اعتماد تفسیر می‌کند و سعی می‌کند آنها را از طرف کاربر اجرا کند.[2][3]

توسعه‌دهندگان Cursor از خطرات اجرای خودکار آگاه بودند. با شروع از خط انتشار ۲.x، این ویرایشگر تمام دستورات ترمینال تولید شده توسط هوش مصنوعی را به طور پیش‌فرض در داخل یک جعبه شنی (sandbox) محدود اجرا می‌کرد. این لایه جداسازی برای جلوگیری از خستگی تأیید طراحی شده بود—که به عامل اجازه می‌داد دستورات مفید را به طور خودکار اجرا کند، در حالی که به طور نظری مانع از اصلاح فایل‌های حیاتی سیستم می‌شد.[2][4]

آسیب‌پذیری‌های DuneSlide، با این حال، نشان دادند که چگونه می‌توان این جعبه شنی را از درون شکست. نقص اول، که با عنوان CVE-2026-50548 پیگیری می‌شود، از یک تنظیم خاص در معماری جعبه شنی سوءاستفاده کرد. جعبه شنی به طور طبیعی به عامل هوش مصنوعی اجازه می‌دهد تا فایل‌ها را در دایرکتوری کاری فعلی خود بنویسد. محققان کشف کردند که با استفاده از تزریق پرامپت برای دستکاری پارامتر working_directory، عامل می‌تواند جعبه شنی را فریب دهد تا نوشتن در مسیرهای سیستم محدود شده را تأیید کند.[1][3]

آسیب‌پذیری‌های DuneSlide، با این حال، نشان دادند که چگونه می‌توان این جعبه شنی را از درون شکست.

هنگامی که عامل توانایی نوشتن در خارج از پوشه پروژه را به دست آورد، مسیر سوءاستفاده به طرز نگران‌کننده‌ای ساده شد. دستورالعمل‌های تزریق شده، هوش مصنوعی را هدایت کردند تا خود فایل اجرایی cursorsandbox را بازنویسی کند. با جایگزینی کمک‌کننده جعبه شنی با یک اسکریپت مخرب، مهاجم عملاً سیستم مهار را خنثی کرد و اطمینان حاصل کرد که تمام دستورات بعدی با امتیازات کامل سیستم اجرا می‌شوند.[1][2]

آسیب‌پذیری دوم، CVE-2026-50549، از طریق یک مکانیسم کاملاً مستقل به فرار مشابهی از جعبه شنی دست یافت. این نقص از موارد حاشیه‌ای در نحوه حل مسیرهای فایل و پیوندهای نمادین (symlinks) توسط Cursor سوءاستفاده کرد. یک مهاجم می‌توانست به عامل دستور دهد تا یک پیوند نمادین در داخل دایرکتوری پروژه تأیید شده ایجاد کند که به طور مخفیانه به یک فایل حساس در خارج از آن اشاره داشت.[1][3]

از آنجایی که منطق استانداردسازی مسیر عامل نتوانست مقصد نهایی پیوند نمادین را به درستی تأیید کند، جعبه شنی اجازه نوشتن خارج از محدوده را صادر کرد. هر دوی این آسیب‌پذیری‌ها یک چالش ساختاری در ابزارهای هوش مصنوعی مدرن را برجسته می‌کنند: دشواری حفظ مرزهای امنیتی سختگیرانه زمانی که به خود عامل استقلال داده می‌شود تا پارامترهای عملیاتی خود را تعریف کند.[1]

ماهیت «بدون نیاز به کلیک» این حملات نشان‌دهنده یک تغییر پارادایم در مدل‌سازی تهدید است. از لحاظ تاریخی، توسعه‌دهندگان آموزش دیده بودند که فایل‌های اجرایی را به دقت بررسی کنند و از اجرای اسکریپت‌های غیرقابل اعتماد خودداری کنند. با تزریق غیرمستقیم پرامپت، صرفاً عمل خواندن یک صفحه وب آلوده یا اشکال‌زدایی یک گزارش خطای مسموم توسط عامل هوش مصنوعی، برای راه‌اندازی یک رخنه کامل سیستم کافی است.[2][5]

خوشبختانه، جدول زمانی افشای DuneSlide نشان‌دهنده یک وضعیت امنیتی در حال بلوغ در اکوسیستم توسعه هوش مصنوعی است. آزمایشگاه‌های هوش مصنوعی Cato این نقص‌ها را به طور خصوصی در فوریه ۲۰۲۶ گزارش کردند. پس از بررسی اولیه، تیم مهندسی Cursor با محققان همکاری کرد تا معماری جعبه شنی را بازنگری کند و وصله جامع را در Cursor 3.0 در ۲ آوریل منتشر کرد.[1][4]

تحلیلگران امنیتی خاطرنشان می‌کنند که DuneSlide یک حادثه منفرد نیست، بلکه آخرین مورد در مجموعه‌ای از فرارهای جعبه شنی است که ابزارهای عاملیت‌محور (agentic tools) را تحت تأثیر قرار می‌دهد. این مورد به دنبال افشاگری‌های مشابه در سال ۲۰۲۵، مانند آسیب‌پذیری‌های CurXecute و MCPoison، است که آنها نیز از تزریق پرامپت برای دور زدن محافظ‌های IDE استفاده کردند. این کشف‌های مکرر نشان می‌دهد که کل صنعت هنوز در حال کالیبره کردن تعادل بین استقلال هوش مصنوعی و امنیت میزبان است.[2][4]

برای مدافعان فناوری اطلاعات سازمانی، بسته شواهد پیرامون DuneSlide اطلاعات واضح و قابل اجرا ارائه می‌دهد. اولویت فوری اطمینان از این است که همه تیم‌های توسعه به Cursor 3.0 یا نسخه‌های جدیدتر به‌روزرسانی کرده‌اند. فراتر از وصله کردن، تیم‌های امنیتی به طور فزاینده‌ای به توسعه‌دهندگان توصیه می‌کنند که اتصالات MCP خود را ممیزی کنند و با تمام داده‌های خارجی جذب شده توسط مدل‌های هوش مصنوعی به عنوان داده‌های بالقوه خصمانه رفتار کنند.[5]

در نهایت، آسیب‌پذیری‌های DuneSlide به عنوان یک آزمون استرس حیاتی برای نسل بعدی توسعه نرم‌افزار عمل می‌کنند. با افشای شکنندگی جعبه‌های شنی اولیه هوش مصنوعی، محققان در حال اجبار به ایجاد معماری‌های انعطاف‌پذیرتر و با اعتماد صفر (zero-trust) هستند. همانطور که عوامل هوش مصنوعی وظایف خودکار پیچیده‌تری را بر عهده می‌گیرند، درس‌های آموخته شده از ایمن‌سازی ابزارهایی مانند Cursor برای ایمنی اقتصاد دیجیتال گسترده‌تر، اساسی خواهد بود.[4]

روند رویداد

  1. Feb 2026

    آزمایشگاه‌های هوش مصنوعی Cato آسیب‌پذیری‌های DuneSlide را به طور خصوصی به تیم مهندسی Cursor افشا می‌کند.

  2. Apr 2026

    Cursor نسخه ۳.۰ را منتشر می‌کند و نقص‌های فرار از جعبه شنی را به طور کامل وصله می‌کند.

  3. Jun 2026

    شناسه‌های رسمی CVE (CVE-2026-50548 و CVE-2026-50549) به آسیب‌پذیری‌ها اختصاص داده می‌شوند.

  4. Jul 2026

    آزمایشگاه‌های هوش مصنوعی Cato جزئیات فنی زنجیره سوءاستفاده DuneSlide را به صورت عمومی منتشر می‌کند.

بررسی عمیق دیدگاه‌ها

دیدگاه محققان امنیتی

بر نقص‌های ساختاری عوامل خودکار هوش مصنوعی و نیاز به جعبه شنی با اعتماد صفر تمرکز دارد.

تحلیلگران امنیتی استدلال می‌کنند که DuneSlide یک نقص اساسی در نحوه طراحی عوامل اولیه هوش مصنوعی را آشکار می‌کند. از آنجایی که این ابزارها برای واکشی و پردازش خودکار داده‌ها از وب باز یا سرورهای شخص ثالث ساخته شده‌اند، دائماً ورودی‌های غیرقابل اعتماد را جذب می‌کنند. محققان تأکید می‌کنند که جعبه شنی سنتی—که فرض می‌کند کاربر تنها موجودیتی است که دستورات را اجرا می‌کند—زمانی که هوش مصنوعی به عنوان یک واسطه عمل می‌کند، کافی نیست. آنها طرفدار رفتار با تمام داده‌های جذب شده توسط هوش مصنوعی به عنوان داده‌های خصمانه و اجرای لایه‌های جداسازی سختگیرانه و قابل تأیید ریاضی هستند.

دیدگاه مدافعان سازمانی

اولوریت‌بندی امنیت زنجیره تأمین، استقرار سریع وصله و محدود کردن شعاع انفجار محیط‌های توسعه‌دهنده به خطر افتاده.

برای تیم‌های فناوری اطلاعات و امنیتی شرکت‌ها، نگرانی اصلی خطر زنجیره تأمین ناشی از دستگاه‌های توسعه‌دهنده به خطر افتاده است. یک RCE بدون نیاز به کلیک در یک IDE پرکاربرد می‌تواند به مهاجمان اجازه دهد تا به طور مخفیانه درهای پشتی را در کد تولید تزریق کنند یا اعتبارنامه‌های ابری را به سرقت ببرند. مدافعان با اجرای دستورات به‌روزرسانی سختگیرانه—مانند الزام Cursor 3.0—و محدود کردن سرویس‌های خارجی که عوامل هوش مصنوعی مجاز به پرس‌وجو از طریق پروتکل زمینه مدل (MCP) هستند، پاسخ می‌دهند. تمرکز آنها بر مهار شعاع انفجار در صورت ربوده شدن موفقیت‌آمیز یک عامل است.

آنچه نمی‌دانیم

  • اینکه آیا بازیگران تهدید توانستند قبل از انتشار Cursor 3.0، با موفقیت از آسیب‌پذیری‌های DuneSlide در عمل سوءاستفاده کنند یا خیر.
  • چه تعداد از تیم‌های توسعه سازمانی هنوز از نسخه‌های قدیمی و آسیب‌پذیر ۲.x محیط توسعه یکپارچه (IDE) Cursor استفاده می‌کنند.
  • اینکه آیا فرارهای مشابه جعبه شنی بدون نیاز به کلیک در عوامل کدنویسی هوش مصنوعی رقیب که از پروتکل زمینه مدل (MCP) استفاده می‌کنند، وجود دارد یا خیر.

اصطلاحات کلیدی

تزریق پرامپت (Prompt Injection)
یک حمله سایبری که در آن دستورالعمل‌های مخرب به عنوان متن عادی پنهان می‌شوند و مدل هوش مصنوعی را فریب می‌دهند تا دستورات ناخواسته را اجرا کند.
RCE بدون نیاز به کلیک (Zero-Click RCE)
یک آسیب‌پذیری اجرای کد از راه دور که به مهاجم اجازه می‌دهد بدون هیچ تعامل یا تأییدی از سوی قربانی، سیستم را به خطر اندازد.
فرار از جعبه شنی (Sandbox Escape)
یک رخنه امنیتی که در آن کد مخرب از یک محیط ایزوله تست یا اجرا خارج می‌شود تا به سیستم عامل گسترده‌تر دسترسی پیدا کند.
پروتکل زمینه مدل (MCP)
یک استاندارد باز که مدل‌های هوش مصنوعی را قادر می‌سازد تا زمینه و داده‌ها را از ابزارها و سرویس‌های خارجی واکشی کنند.
پیوند نمادین (Symlink)
فایلی که به عنوان مرجع یا میانبر برای یک فایل یا دایرکتوری دیگر در سیستم عامل عمل می‌کند.

پرسش‌های متداول

آسیب‌پذیری‌های DuneSlide چیست؟

DuneSlide به دو نقص حیاتی اجرای کد از راه دور بدون نیاز به کلیک (RCE) در ویرایشگر کد هوش مصنوعی Cursor اشاره دارد که با عناوین CVE-2026-50548 و CVE-2026-50549 پیگیری می‌شوند.

تزریق پرامپت بدون نیاز به کلیک چگونه کار می‌کند؟

مهاجم دستورالعمل‌های مخرب را در داده‌هایی که عامل هوش مصنوعی به طور خودکار می‌خواند، مانند نتیجه جستجوی وب، پنهان می‌کند. هوش مصنوعی متن را جذب کرده و دستورات پنهان را بدون نیاز به کلیک کاربر اجرا می‌کند.

آیا محیط توسعه من در حال حاضر در معرض خطر است؟

اگر از Cursor نسخه ۳.۰ یا جدیدتر استفاده می‌کنید، آسیب‌پذیری‌های DuneSlide به طور کامل وصله شده‌اند. کاربران نسخه‌های قدیمی‌تر ۲.x باید فوراً به‌روزرسانی کنند.

پروتکل زمینه مدل (MCP) چیست؟

MCP استانداردی است که به عوامل هوش مصنوعی اجازه می‌دهد تا به طور ایمن به خدمات خارجی، مانند پایگاه‌های داده، جستجوهای وب یا APIهای سازمانی متصل شده و داده‌ها را از آنها بخوانند.

منابع

پوشش منابع

6 منبع

3 دیدگاه شناسایی‌شده

محققان امنیتی 40%توسعه‌دهندگان ابزارهای هوش مصنوعی 35%مدافعان فناوری اطلاعات سازمانی 25%
  1. [1]Cato Networksمحققان امنیتی

    Critical Vulnerabilities Discovered in Cursor IDE

    مطالعه در Cato Networks
  2. [2]The Hacker Newsتوسعه‌دهندگان ابزارهای هوش مصنوعی

    Two flaws in Cursor AI code editor could let a single prompt break out of safety sandbox

    مطالعه در The Hacker News
  3. [3]SecurityWeekمدافعان فناوری اطلاعات سازمانی

    Cursor Patched Critical Vulnerabilities Enabling Prompt Injection Attacks

    مطالعه در SecurityWeek
  4. [4]Let's Data Scienceمحققان امنیتی

    Researchers Disclose Zero-Click RCE Flaws In Cursor IDE

    مطالعه در Let's Data Science
  5. [5]Hard2Bitمدافعان فناوری اطلاعات سازمانی

    Frequently asked questions: DuneSlide vulnerabilities in Cursor AI

    مطالعه در Hard2Bit
  6. [6]Geordie AIمدافعان فناوری اطلاعات سازمانی

    Cursor Vulnerabilities Enable Arbitrary Code Execution

    مطالعه در Geordie AI
همیشه در جریان باشید

هر زاویه. هر روز.

دریافت فناوری اخبار همراه با پوشش کامل منابع و تحلیل دیدگاه‌ها، مستقیم در صندوق ورودی شما.