Noveeのサイバーセキュリティ研究者が、広く使用されているAI搭載IDEのCursorにおいて、高度な重大度を持つ任意コード実行脆弱性を発見しました。
CVE-2026-26268として追跡されているこの欠陥により、攻撃者は開発者のマシンでリモートに悪意あるコードを実行できます。
この脆弱性はCursorのコア製品コードに由来するものではありません。代わりに、信頼されていないリポジトリを処理する際にCursorの自律型AIエージェントが標準的なGit機能とどのように相互作用するかから生じています。
この発見は、開発環境そのものとAIを支援するワークフローが潜在的な攻撃対象として、ほとんど精査されていないというセキュリティテストにおける成長中の盲点を浮き彫りにしています。
このエクスプロイトは、ステルス性の高いコード実行を実現するために、2つの正当なGit構造を活用します。最初のものはGit Hooksで、コミットやチェックアウトなどの特定のGitイベントによってトリガーされる自動化スクリプトです。
2番目のものはベアリポジトリで、バージョン管理データのみを含み、作業ディレクトリがなく、より大きな親リポジトリに埋め込むことができます。
攻撃者は、悪意のあるプリコミットフックを含む埋め込まれたベアリポジトリを隠す、正当に見えるリポジトリを作成できます。
開発者がこの侵害されたリポジトリをクローンしてCursorで開くと、罠がセットされます。エクスプロイトは、Cursorパイに含まれるリポジトリに基づいてCursorAIエージェントがチェックアウトコマンドなどのGit操作を自律的に実行することを決定したときにトリガーされます。
従来の開発環境は受動的に動作します。つまり、開発者がエクスプロイトをトリガーするためにコマンドまたはスクリプトを手動で実行する必要があります。CursorのAIエージェントは、自律的な意思決定を導入することで、この脅威モデルを根本的にシフトさせます。
エージェントは自然言語プロンプトを解釈し、実行するバックグラウンド操作を決定するため、リポジトリのクローンから攻撃者が制御するコードの実行までの間隔は、単一のルーチンに短縮されます。
この脆弱性は、AI搭載コーディングツールの攻撃面が、処理する信頼されていないコードを含むことを実証しています。
悪意あるリポジトリは、設定ファイルを使用して、エージェントの動作を静かに操作できます。AIエージェントがより多くの自律的な能力を引き継ぐにつれて、エクスプロイトをトリガーするための従来の人的エラーまたは意図的なユーザー行動の要件をバイパスします。
Noveeの研究チームは、AIの動作が信頼されていない入力と相互作用する複雑な脆弱性パターンを特に探すことで、CVE-2026-26268を発見しました。彼らは多段階ワークフローにおいて明確な信頼境界違反を特定しました。
開発者がタスク合理化のためにAIエージェントに依存する場合、彼らはエージェントの行動を暗黙的に信頼し、隠されたリポジトリ設定の基礎となる実行をマスクしています。
セキュリティチームにとって、これは開発者ワークステーションのセキュリティに関する重大な警告です。これらのマシンには、アクセストークン、ソースコード、内部ネットワーク認証情報などの非常に機密性の高い資産が含まれています。
AIコーディングアシスタントのセキュリティレビューは、内部コードの監査だけではなく、これらのツールが悪意のある入力と外部環境とどのように相互作用するかを考慮する必要があります。
翻訳元: https://cyberpress.org/cursor-rce-threatens-developers/
