AimLabsの脅威リサーチャーは金曜日、AI搭載のコード編集ソフトウェアCursorに影響を与えるデータポイズニング攻撃を公開しました。この攻撃により、攻撃者がユーザーデバイス上でリモートコード実行権限を得ることができました。
AimLabsによると、この脆弱性は7月7日にCursorに報告され、翌日にはバージョン1.3向けのアップデートで修正パッチが含まれました。以前のすべてのバージョンのソフトウェアは、「外部ホストされた単一のプロンプトインジェクションによってリモートコード実行が引き起こされる可能性がある」と同社のブログ記事で述べられています。
この脆弱性(CVE-2025-54135)は、CursorがModel Contest Protocol(MCP)サーバーとやり取りする際に発生します。このサーバーは、Slack、GitHub、その他のソフトウェア開発に使用されるデータベースなど、さまざまな外部ツールへのアクセスをソフトウェアに提供します。
しかし、先月AimLabsによって発見された別のAIモデルの脆弱性「EchoLeak」と同様に、Cursorのエージェントも、MCPサーバーからデータを取得する際に悪意のあるプロンプトによって乗っ取られ、操作される可能性があります。
攻撃者は、たった一行のプロンプトでCursorの動作に影響を与えることができます。Cursorはホストデバイス上で開発者レベルの権限を持っているため、その動作はほぼ無音でユーザーには見えません。今回、リサーチャーはSlackを通じて直接プロンプトインジェクションを実行し、Cursorが接続されたMCPサーバー経由でこれを取得しました。このプロンプトはCursorの設定ファイルを変更し、悪意のある開始コマンドを持つ別のサーバーを追加させました。
重要なのは、これらの編集がCursorに渡された瞬間、ユーザーが提案を拒否する前に、Cursorが直ちに悪意のあるコマンドを実行してしまうことです。
これは、多くの組織や開発者がAIシステムを業務に統合する際、そのリスクを十分に理解しないまま導入していることへの警鐘です。これらのモデルはしばしば安全でないソフトウェアコードを生成するだけでなく、エージェント自体も外部の第三者からの指示に影響されやすいのです。たった一つの改ざんされたドキュメントで「AIエージェントがローカルシェルに変貌する」可能性があります。
「これらのツールはエージェントを外部かつ信頼できないデータにさらし、それがエージェントの制御フローに影響を与える可能性があります」と同社は述べています。「その結果、攻撃者はエージェントのセッションを乗っ取り、ユーザーの権限を利用してユーザーの代わりに操作を行うことができます。」
この脆弱性は修正されましたが、リサーチャーは、この種の欠陥はほとんどの大規模言語モデルの動作方法に本質的に結びついていると述べています。これらのモデルは外部プロンプトの形でコマンドや指示を取り込むためです。その結果、ほとんどの主要なモデルが今後も同様の問題に対して脆弱であり続ける可能性が高いと考えられています。
「モデルの出力がAIエージェントの実行経路を左右するため、この脆弱性パターンは本質的なものであり、複数のプラットフォームで繰り返し現れ続けています」とブログは結論付けています。
翻訳元: https://cyberscoop.com/cursor-ai-prompt-injection-attack-remote-code-privileges-aimlabs/