🌐 This article hasn't been translated yet — showing the Japanese version.
「リポジトリを開くだけ」でコード実行 Cursorの脆弱性、7カ月未修正のまま全面公開 thumbnail
VULNERABILITY Importance High 2026-07-15

「リポジトリを開くだけ」でコード実行 Cursorの脆弱性、7カ月未修正のまま全面公開

⏱ approx. 2 min views 3 likes 0 LOG_DATE:2026-07-15
TOC

AIコーディングエディター「Cursor」のWindows版に、リポジトリを開くだけで任意コードが実行される脆弱性が存在することが明らかになった。発見したAIセキュリティ企業Mindgardが2025年12月にCursor側へ報告してから約7カ月、実質的な修正がないまま2026年7月14日に詳細を全面公開した。

Cursorのgit.exe検索順序を悪用したRCEの仕組み
攻撃者がリポジトリ直下に偽のgit.exeを仕込むだけでコードが実行される流れ

「開くだけ」で終わる理由 #

原因はCursorがプロジェクトを読み込む際にGit実行ファイルを探す挙動にある。検索対象になんと作業中のリポジトリ自身のディレクトリが含まれていた。攻撃者がリポジトリの最上位に悪意あるgit.exeを置いておけば、被害者がそのリポジトリをCursorで開いた瞬間にログインユーザー権限でそれが起動する。ボタン操作もAIへの指示も、確認ダイアログすら不要という、ソフトウェアサプライチェーン攻撃としては教科書的なほど単純かつ強力な経路だ。

1. 罠リポジトリ作成
攻撃者がリポジトリ直下に悪意の git.exe を配置。
2. 被害者がCursorで開く
クローン・展開したフォルダをCursorで開くだけ。
3. 検索順序の欠陥
Cursorがリポジトリ内の偽git.exeを発見・実行。
4. 任意コード実行
確認画面なしでログインユーザー権限のコードが走る。

「怪しいコードをレビューしてから実行する」というエンジニアの防衛本能そのものを迂回してくる点が厄介だ。OSSのプルリクや調査目的で見知らぬリポジトリを気軽にクローンして開く、というAI時代の開発習慣を逆手に取った攻撃と言える。

7カ月放置というレスポンス史 #

Mindgardの開示タイムラインも見どころだ。報告(12月15日)から1カ月後の回答は「自動処理の失敗」という言い訳、HackerOne経由で情報が渡ってからは2〜4月にかけて音信不通、6月に公開予告を伝えてようやく7月13日に対応着手のコメントが出た。脆弱性そのものより、この沈黙の7カ月にセキュリティ業界の反応が集まっている。

AIコーディングツールは急成長中で開発優先度が新機能に偏りがちだが、エディターはローカル環境で任意コード実行に直結する特権的なソフトウェアでもある。Windows版Cursorユーザーは、信頼できないリポジトリを開く前に中身を確認する、あるいは修正版が出るまでサンドボックス環境で開く運用を検討したい。

𝕏 Post B! Hatena

COMMENTS 0

No comments yet — be the first to leave one.

Post a comment