AI開発環境で操作されたインストールリンクを通じてコード実行を可能にする方法が、セキュリティ研究者によって確認されました。
ProofpointThreatResearchによって「CursorJack」と名付けられたこの技術は、CursorIntegratedDevelopmentEnvironment(IDE)内のModelContextProtocol(MCP)ディープリンクの悪用を中心としており、特定の条件下で攻撃者が悪質なコンポーネントをインストールしたり、任意のコマンドを実行したりする可能性があります。
2026年1月19日時点での制御されたテストに基づく調査結果は、悪用が自動的ではないことを示しています。代わりに、ユーザーの相互作用とシステム構成に依存しています。細工されたリンクへの単一のクリックに続いて、インストールプロンプトの承認が、いくつかの環境で動作をトリガーするのに十分である場合があります。
MCPディープリンクの操作
CursorはカスタムURLスキームを使用してMCPサーバーのインストールを合理化し、クリックするとIDEを起動するディープリンクに直接構成データを埋め込みます。
Proofpointは、このプロセスがソーシャルエンジニアリングを通じて悪用される可能性があることを発見しました。悪質なリンクは正当に見えるように細工され、有害な構成を含んでいる可能性があります。
ユーザーがこれらのリンクをクリックしてインストールプロンプトを承認すると、IDEはユーザーと同じ特権でコマンドを実行する可能性があります。インストールダイアログは信頼できるソースと信頼できないソースを区別しないため、攻撃者はペイロードを通常のツールとして偽装できます。
これは構成に応じて、ローカルコード実行とリモート悪質サーバーのインストールの両方への経路を作成します。
開発者へのセキュリティ上の影響
この研究は、昇格された権限で動作し、APIキー、認証情報、ソースコードなどの機密資産にアクセスすることが多い開発者のリスクを強調しています。ゼロクリック悪用は観察されていませんが、ユーザーの承認への依存は、攻撃者が悪用する可能性のある人的要因を導入します。
AI開発のセキュリティリスクについてもっと読む:ContextCrushの欠陥がAI開発ツールを攻撃にさらす
この研究はまた、特にAIツールを含む現代的な開発ワークフローが、ユーザーが徹底的なレビューなしにプロンプトを受け入れるように条件付けられる可能性があることに注目しています。この動作は、日常的に見える欺瞞的なインストール要求への露出を増加させます。
研究者は複数の軽減戦略を推奨しています:
-
信頼されたMCPソースの検証メカニズムを導入する
-
コマンド実行のより厳格なアクセス許可制御を実装する
-
インストールパラメータへの可視性を改善する
-
未知のソースからのディープリンクを慎重に扱う
「MCPエコシステムは、フレームワークアーキテクチャに直接組み込まれた基本的なセキュリティの改善が必要です」とProofpointは書きました。「追加のセキュリティツールまたはユーザーの警戒性に主防御として依存するのではなく」
ProofpointはGitHubで独自のプルーフオブコンセプトコードを公開しました。研究者はCursorに脆弱性報告チャネルを通じて通知しました。
画像提供:bella1105 / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/cursor-jack-attack-path-ai/
