「うちの開発チームもCursorを使っているんでしゅけど、なんか危ないって聞いたんでしゅ……」
「リポジトリを開くだけで乗っ取られるって、どういうことでしゅか?」
ボスっ!Cursorって人気のAIコーディングツールでしゅよね。それに重大な脆弱性が見つかったって本当でしゅか?
ああ、本当だ。悪意あるリポジトリを開くだけで、開発者のマシンが完全に制御される攻撃手法が公開された。AIツール自体が攻撃の入り口になる、新しいタイプのリスクだな。
AIコーディングアシスタント「Cursor」に、プロンプトインジェクションとサンドボックス突破を組み合わせた重大脆弱性が発見されました。
2026年4月にリリースされたCursor 3.0でパッチが提供されているものの、旧バージョンを使い続けている開発者は今すぐアップデートが必要です。
この記事では、攻撃の仕組みと具体的なリスク、そして取るべき対策を解説します。
- CursorにCVSS 9.8の重大脆弱性2件(CVE-2026-50548/-50549)が発見され、Cursor 3.0で修正済み
- 悪意あるリポジトリを開くだけでプロンプトインジェクション→サンドボックス突破→永続化まで自動実行される
- Fortune 500の半数以上が利用するツールへの攻撃で、開発者の認証情報・クラウド環境も危険にさらされる
日本でもAI開発ツールの採用が急速に広がっています。
「コードを書く道具」そのものが攻撃の踏み台になる時代に、開発チームのツール管理体制を見直すきっかけにしてください。
目次
CursorのAI機能を悪用した攻撃手法が明らかに
今回明らかになったのは、Cursorが持つAIエージェント機能とリモートトンネル機能を組み合わせた複合的な攻撃です。
リポジトリを開くだけって……コードを実行したわけじゃないのに侵入されるんでしゅか!?
そうだ。Cursorが自動でREADMEやドキュメントを読み込み、AIに処理させる。その内容に悪意ある指示が仕込まれていたら、AIが勝手に実行してしまうんだ。
発見された主な脆弱性
研究者が発見した脆弱性をまとめます。
| 脆弱性名 | CVE | CVSS | 概要 |
|---|
| DuneSlide(1) | CVE-2026-50548 | 9.8 | プロンプトインジェクションでworking_directoryをプロジェクト外に誘導し、サンドボックス外への書き込みが可能 |
| DuneSlide(2) | CVE-2026-50549 | 9.8 | シンボリックリンクのチェック失敗時にCursorが信頼してしまい、プロジェクト外への書き込みが成立 |
| NomShub | ― | Critical | 間接的プロンプトインジェクション+サンドボックス突破+リモートトンネル悪用の複合攻撃チェーン |
DuneSlide、NomShubともにCursor 3.0(2026年4月2日リリース)でパッチが提供されています。
現時点で実際の悪用事例は確認されていませんが、Fortuneが報じるとおりCursorは世界の大企業の半数以上が使用するツールであり、潜在的な影響規模は非常に大きいといえます。
攻撃の仕組みとリスクの連鎖
NomShubの攻撃チェーンは、3つのステップが自動的に連鎖する点が特に危険です。
リポジトリを開くだけで完結する攻撃フロー
攻撃者はリポジトリのREADMEに悪意ある指示を埋め込み、被害者が開いた瞬間から以下が自動で進行します。
- ステップ1(間接プロンプトインジェクション):CursorのAIがREADME内の悪意ある指示を「ユーザーのコマンド」と誤認して実行する
- ステップ2(サンドボックス突破):シェルビルトインコマンド(export、cdなど)を組み合わせることでCursorのサンドボックス制限を回避し、開発者の全ファイルにアクセスする
- ステップ3(永続化とトンネル接続):〜/.zshenvへ永続化コードを書き込み、cursor-tunnelバイナリを経由して攻撃者のサーバーへの常時接続を確立する
警告もなく、気づかないうちに攻撃者のサーバーにつながっちゃうんでしゅね……怖すぎるでしゅ。
しかも、Cursorが持つクラウドサービスへの認証情報もすべて盗まれる。開発者はGitHubやAWSにサインインした状態で使うことが多いからな。被害が開発者個人を超えて組織全体に広がる危険がある。
今すぐ取るべき対策
脆弱性の影響を受けるのはCursor 3.0未満の全バージョンです。以下の対策を取りましょう。
- Cursorを最新の3.0以降にアップデートする(Help → Check for Updates)
- 信頼できないリポジトリをCursorのエージェントモードで開かない運用ルールを設ける
- 開発環境に紐づいたクラウド認証情報(GitHub、AWSなど)の権限を最小限に絞る
MCPサーバーや接続済みサービスを経由した間接プロンプトインジェクションのリスクもあるため、AIエージェントが自動で読み込むソースを組織として管理することが重要です。
まとめ:AIツールのセキュリティ管理が新たな課題に
さっそくCursorをアップデートするでしゅ!それと、知らないリポジトリをむやみに開かないようにするでしゅ!
ふふふ、正しい判断だ。AIが「自動でやってくれる便利さ」は、裏を返せば「自動で攻撃を実行してしまうリスク」でもある。ツールを使う側が仕組みを理解することが、今の時代の基礎的なセキュリティリテラシーだな。
AIコーディングツールCursorに発見されたプロンプトインジェクション脆弱性は、「AIが便利に実行する」という設計の裏面が攻撃に転化した典型的なケースです。
Cursor 3.0へのアップデートで修正されるものの、今後も同様の手法はほかのAI開発ツールに応用される可能性があります。
開発チーム全体でAIツールのバージョン管理と利用ルールを整備することが、サプライチェーンリスクへの実践的な対策です。