LayerXのセキュリティ研究者は、人気のあるAI搭載開発環境Cursorの重大な脆弱性を発見しました。「CursorJacking」と名付けられたこの欠陥はCVSSスコア8.2を持ち、開発者を直接的な認証情報盗難にさらします。インストールされたあらゆる拡張機能は、特別な権限やユーザー操作を必要とせずに、ユーザーのAPIキーとセッショントークンに黙っとアクセスできます。
標準的なセキュリティプラクティスでは、アプリケーションはmacOS KeychainやWindows認証情報マネージャーなどの保護された環境に機密情報を保存することが要求されます。Cursorはこの重要なセーフガードを迂回し、認証情報をローカルの暗号化されていないSQLiteデータベースに保存します。
データベースはユーザーのローカルマシン上の予測可能なファイルパスに位置します。重要なことに、アプリケーションは拡張機能とこのデータベースファイル間のアクセス制御境界を実装していません。この設計上の落とし穴は、宣言された権限に関わらず、あらゆる拡張機能がデータベースを直接読み込んで機密データを抽出できることを意味します。
攻撃がどのように機能するか
この脆弱性を悪用するには、攻撃者からの信じられないほど低い努力で十分です。攻撃フローは直線的な実行経路に従います:
- 攻撃者はカスタムテーマやコーディングユーティリティなど、一見無害な拡張機能を公開します。
- 開発者はセキュリティ警告や権限を求めるプロンプトを受け取らずに拡張機能をインストールします。
- 悪意のある拡張機能は自動的にローカルSQLiteデータベースに問い合わせします。
- 拡張機能はファイルからプレーンテキストのAPIキーとセッショントークンを抽出します。
- 盗まれたデータは攻撃者が管理する外部サーバに静かに送信されます。
- 攻撃者が盗まれたOpenAIまたはAnthropicキーで大きな請求料金を積み上げることからの経済的損失。
- 以前のAIプロンプトから機密ソースコード、メタデータ、および独占的データの露出。
- サードパーティ統合の完全な侵害とバックエンドサービスへの不正アクセス。
- 完全なユーザーなりすましは、さらなるダウンストリーム攻撃を可能にします。
LayerXは公式にこの脆弱性をCursorに開示しました。2026年2月1日。2月5日に、Cursorは拡張機能が他のローカルアプリケーションと同じトラストバウンダリを共有していると述べて対応しました。ベンダーは、ユーザーがインストールを選択した拡張機能を徹底的に検証する責任はユーザーにあると主張しました。
2026年4月下旬の時点で、Cursorはこの問題に対するパッチまたはアーキテクチャ修正をリリースしていません。セキュリティ専門家は、Cursorが設計を更新して拡張機能間の厳密な分離を実装し、すべての機密認証情報を排他的にセキュアなシステムレベルのキーチェーンで処理することを強く推奨しています。パッチが展開されるまで、開発者はサードパーティのアドオンをダウンロードする際に細心の注意を払う必要があります。
翻訳元: https://gbhackers.com/cursor-ai-extension-flaw-exposes-developer-tokens/
