Cursor AI コーディングエージェントの脆弱性により、攻撃者は開発者のマシンでコードを実行できる

Cursor AI搭載のコーディング環境で新たに開示された高い重要度の脆弱性により、攻撃者は開発者のマシン上で任意のコードを実行できる可能性があり、AI支援開発ワークフローのセキュリティについての懸念が新たに高まっています。

この脆弱性は2026年2月にCursorによって公開されました。その後の改善努力がありました。研究者は、テストが厳格な倫理指針の下で実施されたことを強調し、不正なシステムアクセスに対して警告を発しました。

この脆弱性はCursorのコア機能の従来のバグに起因するものではありません。代わりに、AIエージェントが信頼できないリポジトリを操作する際に既存のGit機能とどのように相互作用するかから生じています。

現代のセキュリティ実践はしばしば、APIや認証システムなどの外部攻撃面に焦点を当てます。しかし、この研究は重大な盲点を浮き彫りにしています：開発者環境です。

IDEなどのツールは一般的に安全であると見なされていますが、AIエージェントに潜在的に悪意のあるコードベースに対してコマンドを実行する自律性が与えられた場合、その仮定は弱くなります。

Git機能が悪用を可能にする

攻撃は2つの正当なGitメカニズムの組み合わせに依存しています：

攻撃者は、一見正当なプロジェクト内に悪意のあるベアリポジトリを隠すことができます。この埋め込まれたリポジトリには、有害なプリコミットフックが含まれています。Cursorエージェントがチェックアウトなどの日常的なGit操作を実行すると、フックが自動的に実行されます。

ユーザーの操作や警告は必要ありません。その結果は、通常の開発活動中にトリガーされる静かな、攻撃者が管理するコードの実行です。

この動作はGit自体では新しくありません。リスクレベルを変えるのはCursorのAIエージェントであり、ユーザーのプロンプトに基づいて自律的にコマンドを実行します。

従来のワークフローでは、開発者は手動でコマンドを実行し、疑わしい動作に気付くことができます。対照的に、Cursorエージェントは高レベルの指示を解釈し、実行するGit操作を決定します。

これにより、直接的なユーザーアクションの必要性が排除され、背後で起こっていることへの可視性が低下します。

例えば、開発者がエージェントに「リポジトリをセットアップしてレビューする」よう指示する場合、そのリポジトリに埋め込まれた悪意のあるGit操作が無意識にトリガーされる可能性があります。この攻撃には、ユーザーをリポジトリのクローンに説得するする以上のフィッシングや詐欺は必要ありません。

この脆弱性は、AI搭載ツールがいかに攻撃面を拡大するかを実証しています。エージェントによって処理されるあらゆるコンテンツ（パブリックリポジトリを含む）は、悪用の潜在的なエントリーポイントになります。

Novel研究者はこの問題を、AIエージェントが複数のステップ全体で信頼できない入力とどのように相互作用するかを分析することで特定しました。

単一の脆弱性を探す代わりに、彼らは安全な機能がどのように敵対的な状況下で不安全な結果に組み合わさるかを検査しました。

このアプローチは、複雑な相互作用パターンが個々の脆弱性と同じくらい重要になっている、サイバーセキュリティのより広い転換を反映しています。

CVE-2026-26268の影響は重大です。開発者のマシンにはしばしばAPIキーなどの機密資産、認証情報、および独自のコードが含まれているためです。開発者エンドポイントを侵害すると、より広い組織的な違反につながる可能性があります。

セキュリティチームの主な注意点は次のとおりです：

この脆弱性は、AIエージェントが開発ワークフローでますます多くの責任を担う際に、セキュリティの仮定が進化しなければならないことを示しています。

リポジトリのクローンのような単純なアクションは、現在直接コードの実行につながる可能性があり、積極的な脅威モデリングと継続的なテストが不可欠になっています。