สรุปสั้น

บริษัท Cato Networks โดยทีม Cato AI Labs เปิดเผยช่องโหว่ร้ายแรง 2 รายการใน Cursor ซึ่งเป็นโปรแกรมแก้ไขซอร์สโค้ดที่ขับเคลื่อนด้วย AI โดยตั้งชื่อชุดช่องโหว่นี้ว่า DuneSlide และติดตามในรหัส CVE-2026-50548 กับ CVE-2026-50549 ทั้งคู่ได้คะแนนความรุนแรง CVSS 9.8 จาก 10 (หรือ 9.3 ตามมาตรวัด CVSS 4.0 รุ่นใหม่) จุดอันตรายคือ prompt เพียงข้อความเดียวที่ดูธรรมดา สามารถทำให้ AI agent ของ Cursor หลุดออกจาก sandbox ที่ควรกักคำสั่งไว้ แล้วรันคำสั่งใดก็ได้บนเครื่องของนักพัฒนา โดยที่ผู้ใช้ไม่ต้องคลิกอะไรเลยและไม่มีกล่องอนุมัติให้กดพลาด จึงจัดเป็นการโจมตีแบบ zero-click

ทั้งสองช่องโหว่ถูกแก้ไขแล้วใน Cursor เวอร์ชัน 3.0 ที่ออกเมื่อวันที่ 2 เมษายน 2026 ส่วนทุกเวอร์ชันก่อนหน้า 3.0 ได้รับผลกระทบทั้งหมด ผู้ผลิต Cursor ระบุว่ามีบริษัทในกลุ่ม Fortune 500 มากกว่าครึ่งใช้เครื่องมือนี้ ผู้ที่ยังใช้งานอยู่จึงควรรีบอัปเดตทันที ทั้งนี้ยังไม่พบร่องรอยการนำช่องโหว่ไปใช้โจมตีจริง เนื่องจาก Cato นำเสนอในฐานะงานวิจัย ไม่ใช่แคมเปญโจมตีที่กำลังเกิดขึ้น

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 1 กรกฎาคม 2026 ว่า บริษัท Cato Networks ค้นพบช่องโหว่คู่ที่ชื่อ DuneSlide ใน Cursor ซึ่งเป็นโปรแกรมแก้โค้ดด้วย AI ที่ได้รับความนิยมสูงในกลุ่มนักพัฒนา ตั้งแต่ซีรีส์เวอร์ชัน 2.x เป็นต้นมา Cursor ได้ตั้งค่าเริ่มต้นให้รันคำสั่ง terminal ที่ AI agent สั่งการภายใน sandbox ซึ่งเปรียบเสมือนกล่องที่ล็อกไว้เพื่อจำกัดว่าคำสั่งเหล่านั้นจะแตะต้องอะไรได้บ้าง เพื่อป้องกันไม่ให้คำสั่งหลงทางไปทำลายเครื่อง

หัวใจของ DuneSlide คือการหลุดออกจากกล่องนั้น โดยช่องทางเข้าคือเทคนิค prompt injection ผู้โจมตีไม่ได้พิมพ์คำสั่งลงใน Cursor ของเหยื่อโดยตรง แต่ฝังคำสั่งไว้ในสิ่งที่ AI agent จะไปอ่านแทนผู้ใช้ เช่น บริการภายนอกที่เชื่อมต่อผ่าน Model Context Protocol (MCP) หรือหน้าเว็บที่ได้จากการค้นหา เมื่อผู้ใช้ถามคำถามธรรมดา คำสั่งที่ซ่อนไว้ก็จะติดมาด้วย และเนื่องจากไม่ต้องอาศัยการคลิกหรืออนุมัติจากผู้ใช้ การโจมตีจึงเป็นแบบ zero-click

ทีม Cato AI Labs อธิบายว่าทั้งสองช่องโหว่ใช้กลเม็ดเดียวกัน คือหลอกให้ agent เขียนไฟล์หนึ่งที่มันไม่ควรมีสิทธิ์เขียน แล้วอาศัยการเขียนไฟล์นั้นปิดการทำงานของ sandbox เมื่อ sandbox ถูกปิดลง คำสั่งถัดไปก็จะรันด้วยสิทธิ์ของผู้ใช้เอง หมายถึงการยึดควบคุมเครื่องของนักพัฒนา รวมถึงพื้นที่ทำงานบนคลาวด์หรือ SaaS ที่โปรแกรมล็อกอินค้างไว้ ทั้งหมดนี้เริ่มต้นจาก prompt ที่ดูไม่มีพิษภัยเพียงข้อความเดียว

รายละเอียดช่องโหว่

CVE-2026-50548 เป็นการใช้ประโยชน์จากการตั้งค่า โดย sandbox อนุญาตให้เขียนไฟล์ลงในโฟลเดอร์ทำงานของคำสั่งได้ และโฟลเดอร์นั้นเป็นพารามิเตอร์เสริมชื่อ working_directory บนเครื่องมือ run_terminal_cmd ของ Cursor เมื่อ agent ตั้งค่าให้ชี้ไปยัง path ที่ไม่ใช่ค่าเริ่มต้น Cursor จะเพิ่ม path นั้นลงในรายการที่อนุญาตให้เขียนได้ทันทีโดยไม่ตั้งคำถาม คำสั่งที่ถูกฝังจึงชี้ไปยังไฟล์ระบบแทนโฟลเดอร์โปรเจกต์ หากเขียนทับไฟล์ตัวช่วย sandbox โดยตรง (บน macOS คือ /Applications/Cursor.app/Contents/Resources/app/resources/helpers/cursorsandbox) คำสั่งที่ตามมาก็จะรันโดยไม่มี sandbox เลย นอกจากนี้ไฟล์เริ่มต้นระบบอย่าง ~/.zshrc ก็ใช้เป็นเป้าหมายได้เช่นกัน

ส่วน CVE-2026-50549 เป็นการใช้ประโยชน์จากขั้นตอนตรวจสอบความปลอดภัย ก่อนเขียนไฟล์ Cursor จะแปลง shortcut (symlink) เพื่อยืนยันว่าปลายทางจริงอยู่ภายในโปรเจกต์ แต่จุดบกพร่องอยู่ที่กรณีสำรอง คือเมื่อการตรวจสอบล้มเหลว ไม่ว่าจะเพราะเป้าหมายไม่มีอยู่จริง หรือผู้โจมตีตัดสิทธิ์การอ่านโฟลเดอร์ใน path ออกไป Cursor จะยอมแพ้และไปเชื่อ path ภายในโปรเจกต์ที่ shortcut ระบุแทน ผู้โจมตีจึงสร้าง shortcut ที่ชี้ออกไปนอกโปรเจกต์ บังคับให้การตรวจสอบล้มเหลว แล้ว Cursor ก็จะเขียนทะลุไปยังไฟล์ตัวช่วย sandbox เดียวกัน เป็นการหนีออกจากกล่องด้วยประตูคนละบานแต่ผลลัพธ์เดียวกัน

ในแง่ไทม์ไลน์การเปิดเผย Cato แจ้งทั้งสองปัญหาเมื่อวันที่ 19 กุมภาพันธ์ 2026 แต่ Cursor ปฏิเสธหลังจากนั้น 4 วัน โดยอ้างว่า threat model ของตนไม่ครอบคลุมการนำ MCP server ไปใช้ในทางที่ผิด แม้จะเป็นเซิร์ฟเวอร์มาตรฐานอย่าง Linear workspace ก็ตาม Cato จึงยกระดับเรื่องขึ้นอีกครั้งในวันที่ 26 กุมภาพันธ์ Cursor จึงเปิดรายงานใหม่ จัดลำดับความสำคัญ และปล่อยแพตช์ทั้งสองใน 3.0 โดยรหัส CVE ได้รับการกำหนดในวันที่ 5 มิถุนายน 2026 ทั้งนี้ DuneSlide เป็นเพียงรายการล่าสุดในชุดช่องโหว่ของ Cursor ที่เริ่มจาก prompt เป็นพิษและจบที่การรันโค้ด เช่น CurXecute (CVE-2025-54135), MCPoison (CVE-2025-54136) และ CVE-2026-26268 ซึ่งแต่ละครั้งเจาะทะลุกลไกป้องกันคนละชั้น

ผลกระทบต่อไทย

Cursor เป็นเครื่องมือ AI code editor ที่ได้รับความนิยมสูงในหมู่นักพัฒนาซอฟต์แวร์และทีม DevOps ทั่วโลก รวมถึงในไทยที่หลายบริษัทเทคโนโลยี สตาร์ตอัป และทีมพัฒนาภายในองค์กรหันมาใช้เครื่องมือช่วยเขียนโค้ดด้วย AI มากขึ้น ช่องโหว่ DuneSlide อันตรายเป็นพิเศษเพราะเป็นแบบ zero-click และอาศัยเพียงการที่ agent ไปอ่านเนื้อหาที่ผู้โจมตีวางกับดักไว้ เช่น ผลการค้นหาเว็บหรือ MCP server ที่เชื่อมต่อ นักพัฒนาที่ล็อกอินคลาวด์หรือ SaaS ค้างไว้บนเครื่องเดียวกันจึงเสี่ยงถูกยึดทั้งเครื่องและพื้นที่ทำงานบนคลาวด์ ซึ่งอาจนำไปสู่การรั่วไหลของซอร์สโค้ดและข้อมูลลับได้ ทีมพัฒนาในไทยจึงควรตรวจสอบเวอร์ชัน Cursor ที่ใช้งานและเร่งอัปเดตโดยด่วน

คำแนะนำ

อัปเดต Cursor เป็นเวอร์ชัน 3.0 หรือใหม่กว่าทันที เนื่องจากทุกเวอร์ชันก่อนหน้าได้รับผลกระทบ ควรระมัดระวังการเชื่อมต่อ MCP server จากแหล่งที่ไม่น่าเชื่อถือ และจำกัดสิทธิ์ของ AI agent ในการเข้าถึงบริการภายนอกเท่าที่จำเป็น หลีกเลี่ยงการล็อกอินบัญชีคลาวด์หรือ SaaS ที่มีสิทธิ์สูงค้างไว้บนเครื่องเดียวกับที่รัน AI agent องค์กรควรวางนโยบายปฏิบัติต่อ input ทุกชนิดที่ agent อ่านจากภายนอกเสมือนว่าเป็นภัยคุกคาม (treat every input as hostile) และติดตามคำแนะนำด้านความปลอดภัยจากผู้ผลิตเครื่องมือ AI coding อย่างสม่ำเสมอ

แหล่งอ้างอิง