AIコーディングエディター「Cursor」のWindows版に、リポジトリを開くだけで任意コードが実行される脆弱性が存在することが明らかになった。発見したAIセキュリティ企業Mindgardが2025年12月にCursor側へ報告してから約7カ月、実質的な修正がないまま2026年7月14日に詳細を全面公開した。

「開くだけ」で終わる理由 #
原因はCursorがプロジェクトを読み込む際にGit実行ファイルを探す挙動にある。検索対象になんと作業中のリポジトリ自身のディレクトリが含まれていた。攻撃者がリポジトリの最上位に悪意あるgit.exeを置いておけば、被害者がそのリポジトリをCursorで開いた瞬間にログインユーザー権限でそれが起動する。ボタン操作もAIへの指示も、確認ダイアログすら不要という、ソフトウェアサプライチェーン攻撃としては教科書的なほど単純かつ強力な経路だ。
git.exe を配置。「怪しいコードをレビューしてから実行する」というエンジニアの防衛本能そのものを迂回してくる点が厄介だ。OSSのプルリクや調査目的で見知らぬリポジトリを気軽にクローンして開く、というAI時代の開発習慣を逆手に取った攻撃と言える。
7カ月放置というレスポンス史 #
Mindgardの開示タイムラインも見どころだ。報告(12月15日)から1カ月後の回答は「自動処理の失敗」という言い訳、HackerOne経由で情報が渡ってからは2〜4月にかけて音信不通、6月に公開予告を伝えてようやく7月13日に対応着手のコメントが出た。脆弱性そのものより、この沈黙の7カ月にセキュリティ業界の反応が集まっている。
AIコーディングツールは急成長中で開発優先度が新機能に偏りがちだが、エディターはローカル環境で任意コード実行に直結する特権的なソフトウェアでもある。Windows版Cursorユーザーは、信頼できないリポジトリを開く前に中身を確認する、あるいは修正版が出るまでサンドボックス環境で開く運用を検討したい。
COMMENTS 0
No comments yet — be the first to leave one.