研究者が「CurXecute」と呼ぶ脆弱性が、ほぼすべてのバージョンのAI搭載コードエディタCursorに存在し、開発者権限でリモートコードを実行するために悪用される可能性があります。
このセキュリティ問題は現在CVE-2025-54135として特定されており、AIエージェントに悪意のあるプロンプトを与えることで攻撃者がコマンドを制御できるようになります。
Cursor統合開発環境(IDE)は、AIエージェントを活用して開発者がより速く効率的にコーディングできるよう支援し、Model Context Protocol(MCP)を使用して外部リソースやシステムと接続することができます。
研究者によると、CurXecute脆弱性を悪用することに成功したハッカーは、ランサムウェアやデータ窃取のインシデントを引き起こす可能性があります。
プロンプトインジェクション攻撃
CurXecuteは、ユーザーの操作なしに機密データを盗むことができるMicrosoft 365 CoPilotのEchoLeak脆弱性に似ています。
AIサイバーセキュリティ企業のAim Securityの研究者は、EchoLeakを発見し理解した後、ローカルAIエージェントであっても外部要因によって悪意ある行動を取らせることができることを学びました。
Cursor IDEはMCPオープンスタンダードフレームワークをサポートしており、これによりエージェントは外部データソースやツールと接続することで機能やコンテキストを拡張できます。
「MCPはローカルエージェントをスイスアーミーナイフに変えます。任意のサーバー(Slack、GitHub、データベースなど)を立ち上げ、自然言語からツールを呼び出せるようにします」- Aim Security
しかし、研究者は、これによりエージェントが外部の信頼できないデータにさらされ、制御フローに影響を与える可能性があると警告しています。
ハッカーはこれを利用して、エージェントのセッションや権限を乗っ取り、ユーザーになりすまして操作を行うことができます。
外部ホストのプロンプトインジェクションを利用することで、攻撃者はプロジェクトディレクトリ内の~/.cursor/mcp.jsonファイルを書き換え、任意のコマンドのリモート実行を有効にすることができます。
研究者によると、Cursorは~/.cursor/mcp.jsonファイルへの新規エントリ実行時の確認を必要とせず、提案された編集はユーザーが拒否しても即座にコマンド実行がトリガーされると説明しています。
BleepingComputerと共有されたレポートで、Aim Securityは、CursorにSlackなどの標準MCPサーバーを追加することで、エージェントが信頼できないデータにさらされる可能性があると述べています。
攻撃者は、mcp.json構成ファイル用のインジェクションペイロードを含む悪意のあるプロンプトをパブリックチャンネルに投稿することができます。
被害者が新しいチャットを開き、エージェントにメッセージの要約を指示すると、ペイロード(シェルなど)はユーザーの承認なしに即座にディスクに書き込まれます。
「攻撃対象は、外部コンテンツを処理するあらゆるサードパーティMCPサーバーです。課題管理、カスタマーサポート受信箱、検索エンジンさえも含まれます。たった1つの毒されたドキュメントでAIエージェントがローカルシェルに変わる可能性があります」- Aim Security
Aim Securityの研究者は、CurXecute攻撃によりランサムウェアやデータ窃取、さらにはプロジェクトを台無しにするようなAIの幻覚(ハルシネーション)による操作や、slopsquatting攻撃が可能になると述べています。
研究者は7月7日にCurXecuteをCursorに非公開で報告し、翌日にはベンダーがパッチをメインブランチにマージしました。
7月29日、Cursorバージョン1.3がリリースされ、複数の改善とCurXecuteの修正が行われました。Cursorはまた、CVE-2025-54135に関するセキュリティアドバイザリを公開し、中程度の深刻度スコア8.6を受けました。
既知のセキュリティリスクを回避するため、ユーザーはCursorの最新版をダウンロードしてインストールすることが推奨されています。
