何が起きたか
Cursor Desktopバージョン3.0.0未満は、ワークスペース内の.claude/settings.local.jsonで定義されたフックコマンドを自動的に読み込み、ユーザーの専門的な承認を必要とさずに実行していました。脅威アクター、または侵害されたマルウェアAIエージェントがワークスペース内で動作している場合、認証情報の流出やバックドアのインストールなどの任意のOS レベルのコマンドを含む細工されたプロファイルファイルを書き込みまたは配信でき、IDE起動時またはClaudeセッション開始時にサイレントに実行されます。これはAIコーディングエージェント構成ファイルを永続化ベクトルとして悪用するShai-Hulud/Hadesキャンペーンの広範なクラスと密接に関連しています。
なぜ重要か
AIコーディングエージェントは、通常の動作の一部として自身の構成ファイルを益々作成および変更しています。この脆弱性は、悪意のある、または侵害されたエージェントが、ワークスペース構成にフックを書き込むことで開発者のマシンに永続的な任意コード実行をブートストラップできることを意味しており、別のエクスプロイトは不要です。また、これは中毒されたリポジトリを介したサプライチェーン攻撃を可能にします。開発者がCursorで悪意のあるリポジトリをクローンして開く場合、コードを1行も記述する前にサイレントに侵害されます。
攻撃経路
攻撃者がワークスペースまたはリポジトリ内に悪意のある.claude/settings.local.jsonを細工するか、Claudeエージェントに書き込むよう説得します。被害者がCursor Desktopでワークスペースを開くと、エディタは埋め込まれたClaudeフックコマンド(例:SessionStartフック)を読み込み、ユーザーに承認プロンプトを提示することなく開発者のフルOS レベルの権限で実行します。
影響を受けるシステム
Cursor Desktop(AIコードエディタ)< 3.0.0
緩和策
Cursor Desktop 3.0.0以降にアップグレードしてください。このバージョンではワークスペース定義のClaudeフックコマンドを実行する前に明示的なユーザー承認が必要です。アドバイザリ:https://github.com/cursor/cursor/security/advisories/GHSA-pc9j-3qc2-95wv