何が起きたか
2026-03-31 の修正前に、Cursor のブラウザ有効 Cloud Agent セッションは、エージェントのブラウザ内でレンダリングされたあらゆるウェブコンテンツから到達可能な認証されていないローカルエージェントエンドポイントを公開し、エージェント訪問の悪意あるウェブページがエージェント自身のサンドボックス化されたセッション内のコード実行にピボットすることを許可しました。
なぜ重要か
これは AI コーディングエージェントが閲覧する信頼できないウェブコンテンツがエージェントの実行サンドボックスに逃げて、セッション認証情報(GitHub App トークンを含む)を盗むことができる境界を越えた攻撃です。これはブラウザ使用ツーリングと認証されていないローカルコントロールプレーンエンドポイントを組み合わせた新規エージェント実行攻撃クラスを実証しています。
攻撃経路
攻撃者制御のウェブコンテンツが Cursor Cloud Agent セッションのブラウザ有効内に読み込まれることで、認証されていないローカルエージェントエンドポイントから内部エージェントコンテナに接続し、サンドボックス内でコード実行を達成し、そのセッションで利用可能なファイル、env vars、認証情報、および GitHub App アクセストークンを流出させることができました。
影響を受けるシステム
Cursor Cloud Agent(ブラウザ有効セッション)、2026-03-31 で修正
緩和策
影響を受けたローカルエージェントエンドポイントで認証を要求することで Cursor によって 2026-03-31 に修正されました。Cursor Cloud Agent クライアントが修正を超えて更新されていることを確認してください。GHSA-whx2-4gvm-m3r3 を参照してください。