何が起きたか
Cursor 3.0より前では、エージェントターミナルサンドボックスはワークスペース内に留まることを確認するためにターゲットパスを正規化してから書き込みを許可します。working_directoryパラメータ処理の欠陥により、サンドボックスが意図したワークスペース外の書き込み可能なパスを含めます。working_directoryを機密ロケーションに設定することで、エージェントは任意のファイルを書き込むことができます — cursorsandboxヘルパーを上書きするなど — さらなるユーザー操作なしでサンドボックス化されていないRCEを有効にします。
なぜ重要か
Cursorはエンタープライズ環境で最も広く採用されているAIコーディングアシスタントです。エージェントモードでのサンドボックスエスケープは、任意の外部コンテンツ(イシュートラッカー、ウェブ検索、リポコンテンツ)を通じたプロンプトインジェクションが完全なホストRCEにつながることを意味します。攻撃者はソースコード、認証情報、SSHキー、クラウドトークンを流出させたり、開発者ワークステーションに永続性を確立したりできます — 開発者サプライチェーン攻撃ベクトルです。
攻撃経路
悪意あるエージェント(プロンプトインジェクションまたは悪意あるリポコンテンツ経由で起動)がworking_directoryを~/.cursorまたはシステムディレクトリなどの機密パスに設定します。サンドボックスは作業ディレクトリへの書き込みアクセスを付与するため、エージェントはcursorsandboxヘルパーバイナリまたは他の特権ファイルを上書きでき、その後のコマンドがユーザーの完全な権限でサンドボックス外で実行されます。
影響を受けるシステム
Cursor AIコードエディタ < 3.0
緩和策
Cursor 3.0にアップグレードしてください。アドバイザリ:https://github.com/cursor/cursor/security/advisories/GHSA-3p48-7v9f-v5cw