Cursorの重大なバグが通常のGitをRCEに変える可能性

セキュリティ研究者が、Cursor IDE に影響する高深刻度の脆弱性を開示しました。これにより、開発者のマシン上で、一見通常のリポジトリインタラクションを通じて任意のコード実行が可能になります。

AI ペネトレーションテストプラットフォーム Novee Security の調査結果によると、開発者が悪意のあるリポジトリをクローンして対話すると、IDE の AI エージェントが埋め込まれた Git ロジックをトリガーでき、その結果、攻撃者が制御するコード実行が発生する可能性があります。

「根本的な原因は Cursor のコア製品ロジックの欠陥ではなく、Git の機能相互作用の結果であり、AI エージェントがそれが制御していないリポジトリ内で自律的に Git 操作を実行し始めた瞬間に悪用可能になるものです。」と、Novee の脆弱性研究者である Assaf Levkovich は、火曜日の公開に先立って CSO と共有されたブログ投稿で述べています。

この欠陥は、AI エージェント（プロンプト インジェクション経由）が不適切に保護された Git 設定に書き込むように有効化するために使用される可能性があり、次のトリガーでサンドボックス外の RCE を許可する可能性があります。現在 Cursor によって修正されており、野生での悪用の兆候はまだありません。

正当な Git 機能をコード実行に使用する

このエクスプロイトは、Git フックと Bare リポジトリを含む標準 Git 機能に依存しています。フックはプリコミットやポストチェックアウトなどのイベント中に自動的に実行されるスクリプトであり、Bare リポジトリはバージョン制御メタデータのみを含み、他のリポジトリ内にネストされる可能性があるリポジトリです。

Novee によると、攻撃者は悪意のある Bare リポジトリを合法的なプロジェクト内に埋め込み、その中に有害なプリコミット フックを設置できます。Cursor の AI エージェントが高レベルのプロンプトによってトリガーされた git チェックアウトなどの通常の操作を実行する場合、そのフックを実行できます。これにより、開発者のマシン上でリモート攻撃者コードが自動的に実行されます。

Levkovich は、攻撃パスを許可する基礎的な Git 動作は十分に文書化されていますが、ここで異なるのは Cursor がコード実行をもたらす Git 操作（フック実行）を実行することを自律的に決定することであると述べました。

この欠陥は CVE-2026-26268 として追跡され、NVD により 10 中 9.9 の重大度レーティングが割り当てられており、バージョン 2.5 より前の Cursor バージョンに影響します。欠陥の NVD 説明には「.git 設定の書き込みによるサンドボックス エスケープはバージョン 2.5 より前で可能でした」と記載されています。「悪意のあるエージェント（つまり、プロンプト インジェクション）は、git フックを含む不適切に保護された .git 設定に書き込む可能性があり、次回トリガーされるときにサンドボックス外の RCE を引き起こす可能性があります。」

エージェンティック IDE による攻撃面の拡大

Novee は、従来の IDE は受動的で開発者が明示的に指示したことを行う一方、Cursor の AI エージェントは意図を解釈し、実行するコマンドを自律的に決定し、これには Git 操作が含まれると警告しました。そしてそれが問題があるところです。

「従来のペネトレーション テストでは、開発者マシンをターゲットとする『クライアント側』攻撃は常に既知のベクトルでした。」Levkovich は述べました。「しかし、彼らはユーザーエラーまたは警戒の怠慢に依存していて、通常、被害者による一定程度の意図的なアクション、つまり悪意のあるファイルを開いたり、スクリプトを実行したり、リンクをクリックしたりする必要があります。」

セキュリティは長い間、信頼できる IDE と人間のアクションをセーフガードとして頼ってきましたが、AI エージェントはこれら両方の制約を削除します。と彼は付け加えました。

攻撃パスは Bare リポジトリのクローン作成以外にフィッシングやユーザーをスクリプト実行へ騙す必要がなく、悪意のあるコードは通常の開発ワークフローの一部として実行されるため、検出が非常に困難です。

それでも、Cursor は欠陥に対する NVD の重大度レーティングに異議を唱え、代わりに独自の高深刻度 CVSS スコア 10 中 8.0 を発行しました。欠陥は Cursor バージョン 2.5 で修正されます。