Du öffnest einen Ordner mit Code in deinem Editor. Ein schneller Blick auf eine Datei. Ohne Klick, ohne Warnung führt der Editor ein Programm aus, das in diesem Ordner liegt. Ein Angreifer hat es dort platziert. Klingt unwahrscheinlich? Genau das passiert in Cursor. Der Sicherheitsforscher Mindgard hat die Lücke entdeckt. Sie ist so simpel, dass man sie kaum für möglich hält.
Die Schwachstelle sitzt in der Suche nach Git-Binärdateien. Öffnest du ein Projekt, durchsucht die IDE verschiedene Pfade nach einer ausführbaren Git-Datei. Einer dieser Pfade ist das aktuelle Arbeitsverzeichnis. Legt ein Angreifer eine manipulierte git.exe ins Wurzelverzeichnis, führt Cursor sie automatisch aus. Kein Pop-up, keine Warnung, kein Klick. Der Forscher demonstrierte das harmlos: Er benannte den Windows-Rechner in git.exe um, legte ihn ins Repository. Nach dem Öffnen des Projekts öffnete sich mehrfach der Rechner. Cursor führte die Datei immer wieder aus, solange das Projekt offen war.
Keine komplexe Exploit-Kette, keine Prompt-Injection, kein Jailbreak. Ein Entwickler öffnet ein Repository, und ein Angreifer kann beliebigen Code unter den Nutzerberechtigungen ausführen. Als würde jemand die Haustür öffnen, nur weil jemand klingelt – ohne zu fragen, wer da steht.
Der Forscher meldete die Lücke am 15. Dezember 2025 an Cursor. Über sieben Monate und mehr als 197 Versionen später ist sie immer noch offen. Mindgard kontaktierte das Unternehmen mehrfach über die Sicherheitskanäle. Die Antwort war enttäuschend: Erst eine automatisierte Fehlfunktion, dann wurde der Bericht über HackerOne als „informativ“ abgestempelt. Nach Widerspruch wurde er erneut geöffnet, reproduziert und bestätigt. Dann nichts mehr. Keine Kommunikation, kein Update, kein Fix. Cursor brachte über 70 neue Versionen heraus, fügte Features hinzu, kündigte Übernahmen an. Die Sicherheitslücke blieb bestehen.
Wozu dient ein Sicherheitsprozess, wenn er nicht genutzt wird? Der Forscher stand vor einer Entscheidung: Schweigen – oder die Lücke öffentlich machen. Er entschied sich für Letzteres. Die vollständige Offenlegung ist die letzte Option, wenn alle anderen Wege versagen. Sie schützt Nutzer, nicht um Unternehmen zu schaden. In diesem Fall haben Nutzer ein Recht zu wissen, dass ihre KI-gestützte Entwicklungsumgebung sie einem Risiko aussetzt, das seit Monaten bekannt ist.
Was bedeutet das für dich? Nutzt du Cursor auf Windows und öffnest ungeprüfte Repositories, ist dein System gefährdet. Ein Angreifer muss nur eine manipulierte git.exe ins Repository legen. Die kurzfristige Abhilfe: Öffne verdächtige Projekte nur in einer isolierten Umgebung wie einer VM oder der Windows Sandbox. Unternehmen können mit AppLocker oder Windows-App-Steuerungsrichtlinien den Zugriff auf git.exe aus Entwicklerverzeichnissen blockieren. Das ist kein dauerhafter Schutz, sondern ein Pflaster.
Der Vorfall wirft ein größeres Problem auf. KI-Entwicklungsumgebungen wie Cursor fordern viel Vertrauen: Sie greifen auf Code, Zugangsdaten, Terminals zu. Sie automatisieren immer mehr. Dieses Vertrauen müssen sie sich verdienen – nicht durch Marketing, sondern durch verantwortungsvolles Handeln. Wenn eine so simple Sicherheitslücke monatelang ignoriert wird, während das Unternehmen wächst und Geld verdient, stellt sich die Frage: Wem nützt dieser Fortschritt? Dir als Nutzer jedenfalls nicht, wenn deine Systeme gefährdet sind.
Die Sicherheitsbranche lehrt: koordinierte Offenlegung ist der richtige Weg. Aber dieser Weg setzt Kooperation voraus. Reagiert ein Unternehmen nicht, wird aus Koordination ein Monolog. Dann bleibt nur die Offenlegung – aus Verantwortung, nicht aus Bosheit. Mindgard hat das getan. Jetzt liegt es an den Nutzern, zu handeln. Und an Cursor, zu zeigen, ob ihnen die Sicherheit ihrer Kunden wichtig ist.
KI-Tools werden mächtiger und erhalten mehr Befugnisse. Wir müssen wachsam bleiben. Nicht jede Innovation ist gut, nur weil sie schnell und bequem ist. Sicherheit ist kein Feature, das man später nachrüstet – sie muss von Anfang an mitgedacht werden. Die Lücke in Cursor ist ein Weckruf: Vertrauen ist keine Selbstverständlichkeit, es muss verdient werden.
Quelle: mindgard.ai
