何が起きたか
NVD は 2026-06-24 に Warp に対して 10 個の CVE のクラスタを公開し、すべて同じ安定版リリースで修正されました。バグはエージェント攻撃面全体に及びます。検索パターンからシェルコマンドを構築する AI エージェントコード検索ツール (CVE-2026-48703)、非対話型 CLI エージェントプロファイルのコマンド拒否リストバイパス (CVE-2026-48721)、OSC エスケープを介した悪意のあるターミナル出力によるローカルファイル書き込み (CVE-2026-48720)、プロンプトのコマンドインジェクションを引き起こす細工された Git ブランチ名 (CVE-2026-48719)、リモートワーキングディレクトリ経由のレガシー SSH セッションコマンドインジェクション (CVE-2026-48732)、およびターミナル出力によるクリップボード流出 (CVE-2026-48725)。
なぜ重要か
Warp は AI コーディングエージェント (Claude Code、Cursor、Copilot) を実行する開発者に広く使用されている AI ファーストターミナルです。これらのバグは、悪意のあるリポジトリ、リモートホスト、または Web ページが Warp の独自のエージェント実行サーフェスを通じて開発者のマシンでコードを実行できることを意味します。これは、AI コーディングエージェントが昇格した信頼とファイルシステム/シェルの広範なアクセスを持つまさにその環境です。
攻撃経路
複数のベクトル: (1) ローカルファイルリンク付きの悪意のある Markdown ファイルが OS ファイルハンドラを介して実行される、(2) OSC 1337;File ターミナルペイロードが任意のローカルファイルを書き込む、(3) 細工された Git ブランチ名がプロンプトブランチセレクタに注入され、OS コマンドを実行する、(4) サンドボックス化されていないエージェントプロファイルを介した CLI エージェントコマンド拒否リストバイパス、(5) レガシー SSH パス内の SSH リモートワーキングディレクトリインジェクション、(6) Grep/FileGlob エージェントツールが攻撃者制御入力からシェルコマンドを構築する、(7) ターミナルクリップボードアクセスが悪意のあるリモートホストにリクエストされる
影響を受けるシステム
Warp ターミナル < 0.2026.05.06.15.42.stable_01 (複数の CVE: CVE-2026-48704、CVE-2026-48719、CVE-2026-48720、CVE-2026-48721、CVE-2026-48731、CVE-2026-48732、CVE-2026-48703、CVE-2026-48725、CVE-2026-54699、CVE-2026-54686)
緩和策
Warp 0.2026.05.06.15.42.stable_01 以降にアップグレードしてください。すべての CVE は同じリリースで修正されています。参照: https://github.com/warpdotdev/warp (NVD の CVE ごとの個別コミットリンク)