コンテンツにスキップするには Enter キーを押してください

AI支援型コーディングツールのRCE脆弱性がソフトウェアサプライチェーンリスクを引き起こす

投稿日 2025年8月6日

デジタル化された地球儀が「AI」「Processing」、コードの行、その他のデジタルアイコンに囲まれている黒い背景

出典: TippaPatt via Shutterstock

人気のある人工知能(AI)搭載の開発環境の信頼モデルに存在する欠陥により、悪意のある攻撃者がプロジェクトで既に承認されたコード拡張機能を改ざんし、持続的なリモートコード実行(RCE)を行うことが可能となり、現代のソフトウェアサプライチェーンに脅威をもたらします。

Check Point Researchの研究者らは、「MCPoison」と名付けられ、CVE-2025-54136として追跡されている重大な脆弱性を発見しました。これは、大規模言語モデル(LLM)駆動の自動化を利用してソフトウェア開発を加速するCursorに存在します。この脆弱性は、CursorがModel Context Protocol(MCP)をどのように構成しているかに関連しており、これは開発者がワークフローを自動化できるシステムの一部です。詳細は本日公開されたレポートで説明されています。

問題は、拡張機能がMCPを通じて承認されると、以降はユーザーの操作なしに密かに改ざんできてしまう点にあります。Check Point ResearchのAndrey Charikov、Roman Zaikin、Oded Vanunuはレポートの中で、「これにより、Cursorベースの開発環境で持続的かつ静かなリモートコード実行が可能になる」と述べています。

「一度MCPが承認されると、攻撃者はユーザーに気付かれることなく、繰り返し悪意のあるコマンドを注入できます」と彼らは記しています。

研究者らによると、共有リポジトリへの書き込み権限を持つ攻撃者は、このような信頼されたアクセスを利用して様々な悪意のある行為を実行できます。これには、MCP構成にリバースシェルを埋め込んで継続的なリモートアクセスを維持したり、被害者がCursorを開くたびに任意のローカルコマンドを静かに実行することなどが含まれます。

攻撃者はこの脆弱性を利用してユーザーコンテキスト内で権限昇格を行うことができ、特にクラウド認証情報やソースコードへのアクセス権を持つ開発者マシンでは危険性が高まります。また、悪意のあるMCPがプロジェクト起動やリポジトリ同期のたびに再実行されるため、攻撃者は環境内に無期限に居座ることができます。

開示と対策

Check Point Researchはこの問題を7月16日にCursor開発チームに報告し、チームは7月29日にプラットフォームのバージョン1.3をリリースしました。そのリリースノートには脆弱性についての記載はありませんでしたが、Check Pointは独自のテストでこの問題が「効果的に対処された」ことを確認しています。

「現在、MCP構成への変更はスペースの追加のような小さなものでも、必ず承認プロンプトが表示されるようになりました」とレポートには記されています。「ユーザーは修正されたMCPを有効にする前に、明示的に承認または拒否する必要があります。」

Check Pointは、Cursorを開発環境で利用しているすべての組織に対し、直ちにバージョン1.3へアップデートすることを推奨しています。このバージョンでは、Aim Labsが発見したCursorのMCPにおけるプロンプトインジェクションの脆弱性「CurXecute」(CVE-2025-54135)も修正されています。

この脆弱性は先週明らかになったもので、Cursorが開発者レベルの権限で動作し、信頼できない外部データを取得するMCPサーバーと組み合わさることで悪用される可能性があります。詳細はAim Labsのブログ記事で説明されています。

「MCPを介してエージェントに悪意あるデータを送り込むことで、攻撃者はユーザー権限下で完全なリモートコード実行を獲得し、ランサムウェアやデータ窃取、AIの操作や幻覚など、さまざまなことが可能になります」と記事には記されています。

新たなリスクパラダイム

Cursorを利用する組織にとって危険であるだけでなく、両方の脆弱性はAI支援型開発パイプライン全体に対するより広範な脅威を示しています。「自動化、利便性、暗黙の信頼が、開発者マシンや認証情報、ソースコードへの長期的なアクセスのために悪用される可能性がある」とCheck Pointの研究者は記しています。

Check Pointのチーフテクノロジストで製品脆弱性研究責任者のVanunu氏は、メール声明の中で、これらのAI搭載開発者ツールは、組織にとって新たな現実をもたらすと述べています。これらは開発者がソフトウェアを構築する際に前例のない利便性を提供する一方で、これまで組織が経験したことのない攻撃面も生み出すとし、防御側には意識の変革が求められると述べています。

「長年にわたり、私たちは従来型のサプライチェーン攻撃への防御に注力してきましたが、今や新たなサイバーセキュリティ脅威の時代に突入したことは明らかです」とVanunu氏は声明で述べています。

翻訳元: https://www.darkreading.com/vulnerabilities-threats/rce-flaw-ai-coding-tool-supply-chain-risk

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です