Cursorの拡張機能の脆弱性がデベロッパーのAPIキーを露出
AI搭載の開発ツールであるCursorの高い重要度の脆弱性により、インストールされた拡張機能がユーザーの操作なしに機密情報にアクセスでき、APIキーとセッショントークンを露出させることができます。 LayerXの調査によると、Cursorが秘密情報をローカルに保存する方法に問題があり、権限に関係なくすべての拡張機能が
タグ: Cursor
Cursor AI拡張機能のトークンアクセスフローが認証情報の完全な漏洩につながる可能性
LayerXのセキュリティ研究者は、AI搭載開発環境Cursorの高危険度脆弱性を公開しました。この脆弱性により、悪意のある拡張機能を通じて認証情報を完全に漏洩させることが可能になります。 非公式に「CursorJacking」として追跡されているこの脆弱性はCVSSスコア8.2を持ち、インストールされたあらゆる拡張
製品紹介:GitGuardianでAIコーディングツールからのシークレット漏洩を防止
AIコーディングアシスタントは急速に日常開発の一部になっています。Cursor、Claude Code、GitHub Copilotなどのツールは、単にコード提案をするだけではなくなりました。ファイルを読み取り、シェルコマンドを実行し、セッション中に外部ツールを呼び出すことができます。これらは便利な
NomShub脆弱性チェーンがAIコーディングツールの隠れたリスクを露出させる
AI搭載コードエディタの脆弱性チェーンが、自律型開発者ツールがユーザーに対して悪用されるリスクについて懸念を引き起こしています。 NomShubと呼ばれるこの欠陥により、攻撃者は悪意あるリポジトリをオープンするようにデベロッパーを誘導するだけで、従来のエクスプロイトなしに永続的なシェルアクセスを取得できます。 「A
Cursor・Windsurf・Google Antigravityによるマルウェア推奨をいかにして阻止したか
継承された設定ファイル1つが、主要AIIDEすべてで数百万人の開発者をリスクにさらしていました最も人気の高いAI IDEが、存在しない拡張機能を公式に推奨していることを発見しました。誰でも取得してマルウェアをアップロードできる名前空間が放置されていたのです。そこで、私たちが先に取得しました。AI IDEブームに潜む盲点
VSCodeフォークを使う全開発者を乗っ取れた可能性——脆弱性の全貌
要約:私たちは、open-vsx.org(Cursor、Windsurf、VSCodiumなど人気のVSCodeフォークが採用するオープンソースのVS Code拡張機能マーケットプレイス)に重大な脆弱性を発見しました。このマーケットプレイスは1,000万人以上の開発者に利用されています。本脆弱性を悪用すると、マーケット