何が起きたか
Cato AI Labs は2026年7月1日に「DuneSlide」を開示しました。これはCursor IDEのターミナルサンドボックスにおける2つの重大なRCE脆弱性 (CVE-2026-50548、CVSS 9.8; CVE-2026-50549、CVSS 9.3) です。どちらの欠陥も、エージェントが単に読み込むコンテンツに隠されたゼロクリック プロンプトインジェクションにより、サンドボックスをエスケープし、ホスト上で任意のコマンドを実行することを可能にします。Cato は2026年2月19日に欠陥を非公開で報告しました。Cursor は当初これらを拒否しましたが、2026年4月2日の3.0リリースで両方を修正しました。CVE IDは2026年6月5日に割り当てられ、2026年7月1日に公開開示されました。開示前の実際の悪用は確認されませんでした。Cato は他の人気のあるコーディングエージェントにおける類似の構造的欠陥を開示していると述べています。
なぜ重要か
Cursor のような AI コーディングエージェントは、許可されていない OS アクセスを防ぐ目的で設計されたサンドボックス内でターミナルコマンドを自律的に実行します。DuneSlide は、エージェント自体がサンドボックスが検証なしで信頼する実行パラメータ (作業ディレクトリ、シンボリックリンクターゲット) を設定できる場合、サンドボックス分離は不十分であることを証明しています。単一の毒入れられた MCP ツール応答または Web 検索結果は、サンドボックスを無効化し、開発者として任意のコマンドを実行するのに十分です。クラウド認証情報、SSH キー、セッション内に存在する SaaS トークンの盗用を含みます。攻撃ではクリックまたは承認が必要でないため、標準的なソーシャルエンジニアリング防御は完全に回避されます。
攻撃経路
攻撃者は、AI エージェントがユーザーに代わって読み込むコンテンツ (例えば、毒入れられた MCP サーバー応答または Web 検索結果) 内にプロンプトインジェクション指示を埋め込みます。CVE-2026-50548 は、Cursor の run_terminal_cmd ツールの LLM 制御可能な working_directory パラメータを悪用して、プロジェクトサンドボックス外の書き込みをリダイレクトし、cursorsandbox ヘルパーバイナリを上書きします。CVE-2026-50549 は、Cursor のシンボリックリンク正規化における フォールバックを悪用します。パス解決が失敗する場合 (ターゲットが存在しないか読み取りアクセスが削除されている)、Cursor は検証されていないシンボリックリンクパスを信頼し、攻撃者が作成したシンボリックリンクが同じサンドボックスバイナリに到達することを許可します。どちらのチェーンもサンドボックス化を無効化し、ゼロユーザークリックで開発者のマシン上での完全なサンドボックス化されていない RCE を実現します。
影響を受けるシステム
Cursor IDE (anysphere/cursor) < 3.0
緩和策
Cursor IDE をバージョン 3.0 以降に更新します (2026年4月2日にパッチされました)。AI エージェントの信頼できない外部データソースへのアクセスを制限します。MCP 接続サービスおよび Web 検索結果をすべて攻撃者制御の入力として扱います。