Säkerhetsforskare från Novee har hittat en allvarlig sårbarhet i Cursor, en populär AI-driven kodredigerare. Sårbarheten (CVE-2026-26268, CVSS 9.9) gör att en angripare kan köra skadlig kod på en utvecklares dator bara genom att få dem att klona ett Git-repository.

Så fungerar attacken

Problemet ligger i hur Cursors AI-agent interagerar med Git. Angripare kan gömma en skadlig pre-commit hook i ett nästlat bare repository, en speciell mapp som håller versionshanteringsdata utan att visa några filer för användaren.

När Cursors AI-agent utför vanliga uppgifter som "git checkout" triggas den dolda fällan automatiskt. Skadlig kod körs utan varning eller bekräftelse. Det sker helt i bakgrunden eftersom Cursor Rules-filen styr vad AI:n gör.

Varför AI-agenter är målet

Tidigare krävde klientsidiga attacker att en person klickade på en misstänkt länk. Cursors AI-agent kan fatta egna beslut och köra systemkommandon, vilket innebär att den kan luras att köra skadlig kod medan den tror att den hjälper användaren.

Attackytan växer eftersom AI-verktyg nu arbetar autonomt med opålitlig kod från internet. När en utvecklare klonar ett projekt från en publik sajt börjar AI:n arbeta med det direkt och kan aktivera exploiten omedelbart. Ingen social engineering eller användarinteraktion krävs.

Åtgärd

Novee samarbetade med Cursor-teamet för att åtgärda problemet. Fixen släpptes i februari 2026 och gäller Cursor version 2.5 och senare. Alla som använder äldre versioner bör uppdatera omedelbart.

Upptäckten understryker riskerna med AI-verktyg som får allt mer autonomi. Utvecklare bör vara medvetna om att AI-assistenter som kör kommandon automatiskt kan bli en attackvektor, särskilt vid arbete med okända repositories.