何が起きたか
セキュリティ企業Mindgardは、Cursor AI コーディングIDEのWindows任意コード実行脆弱性を開示しました。これは2025年12月にCursorに最初に報告され、Cursorがメール、LinkedIn、またはHackerOneを通じて約7ヶ月間解決しなかった後、2026年7月14日に公開されました。Mindgardは、Windows計算機をgit.exeにリネームしてリポジトリルートに配置することで脆弱性を実証しました。この毒されたリポジトリをCursorで開くだけで自動実行がトリガーされます。
なぜ重要か
これはAIコーディングアシスタント固有の新しいエージェント実行/信頼境界攻撃クラスです。IDEの自動化ツール(従来のアプリケーション脆弱性ではない)は、信頼されていないリポジトリから調達された攻撃者制御コードを静かに実行し、開発者マシン上でRAT、ランサムウェア、認証情報盗難、またはソースコード流出を可能にします。現在のところパッチはありません。
攻撃経路
攻撃者がgit.exeという名前の悪意あるバイナリをGitリポジトリのルートに公開または配置します。Cursorのgitパス解決ロジックはシステムPATHにフォールバックする前にワークスペース自体でgitバイナリを検索します。開発者が毒されたリポジトリをCursorで開くと、悪意あるgit.exeが開発者の権限で自動的に実行されます。クリック、プロンプト、または警告は表示されず、通常の使用中に実行が再発生する可能性があります。
影響を受けるシステム
Cursor IDE (Windows)、バージョン3.2.16まで確認済みで、公開前にテストされた最新バージョン(2026年7月)。開示時点ではパッチが未適用です。
緩和策
開示時点でベンダーパッチは利用できません。Cursorはダークリーディングにこの問題に対処していると述べました。暫定的な緩和策:信頼されていないリポジトリはVM/Windowsサンドボックスなどの隔離環境でのみ開く。企業は開発者ワークスペースディレクトリからのgit.exe実行をブロックするようにAppLockerまたはWindows App Controlポリシーをデプロイすべきです。