AIコーディングツール「Cursor」にCVSS 9.8の重大脆弱性、リポジトリを開くだけで開発機が乗っ取られる

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「うちの開発チームもCursorを使っているんでしゅけど、なんか危ないって聞いたんでしゅ……」
「リポジトリを開くだけで乗っ取られるって、どういうことでしゅか?」

チップス

ボスっ!Cursorって人気のAIコーディングツールでしゅよね。それに重大な脆弱性が見つかったって本当でしゅか?

ボス

ああ、本当だ。悪意あるリポジトリを開くだけで、開発者のマシンが完全に制御される攻撃手法が公開された。AIツール自体が攻撃の入り口になる、新しいタイプのリスクだな。

AIコーディングアシスタント「Cursor」に、プロンプトインジェクションとサンドボックス突破を組み合わせた重大脆弱性が発見されました。
2026年4月にリリースされたCursor 3.0でパッチが提供されているものの、旧バージョンを使い続けている開発者は今すぐアップデートが必要です。
この記事では、攻撃の仕組みと具体的なリスク、そして取るべき対策を解説します。

  • CursorにCVSS 9.8の重大脆弱性2件(CVE-2026-50548/-50549)が発見され、Cursor 3.0で修正済み
  • 悪意あるリポジトリを開くだけでプロンプトインジェクション→サンドボックス突破→永続化まで自動実行される
  • Fortune 500の半数以上が利用するツールへの攻撃で、開発者の認証情報・クラウド環境も危険にさらされる

日本でもAI開発ツールの採用が急速に広がっています。
「コードを書く道具」そのものが攻撃の踏み台になる時代に、開発チームのツール管理体制を見直すきっかけにしてください。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

CursorのAI機能を悪用した攻撃手法が明らかに

今回明らかになったのは、Cursorが持つAIエージェント機能とリモートトンネル機能を組み合わせた複合的な攻撃です。

チップス

リポジトリを開くだけって……コードを実行したわけじゃないのに侵入されるんでしゅか!?

ボス

そうだ。Cursorが自動でREADMEやドキュメントを読み込み、AIに処理させる。その内容に悪意ある指示が仕込まれていたら、AIが勝手に実行してしまうんだ。

発見された主な脆弱性

研究者が発見した脆弱性をまとめます。

脆弱性名CVECVSS概要
DuneSlide(1)CVE-2026-505489.8プロンプトインジェクションでworking_directoryをプロジェクト外に誘導し、サンドボックス外への書き込みが可能
DuneSlide(2)CVE-2026-505499.8シンボリックリンクのチェック失敗時にCursorが信頼してしまい、プロジェクト外への書き込みが成立
NomShubCritical間接的プロンプトインジェクション+サンドボックス突破+リモートトンネル悪用の複合攻撃チェーン

DuneSlide、NomShubともにCursor 3.0(2026年4月2日リリース)でパッチが提供されています。
現時点で実際の悪用事例は確認されていませんが、Fortuneが報じるとおりCursorは世界の大企業の半数以上が使用するツールであり、潜在的な影響規模は非常に大きいといえます。

攻撃の仕組みとリスクの連鎖

NomShubの攻撃チェーンは、3つのステップが自動的に連鎖する点が特に危険です。

リポジトリを開くだけで完結する攻撃フロー

攻撃者はリポジトリのREADMEに悪意ある指示を埋め込み、被害者が開いた瞬間から以下が自動で進行します。

  • ステップ1(間接プロンプトインジェクション):CursorのAIがREADME内の悪意ある指示を「ユーザーのコマンド」と誤認して実行する
  • ステップ2(サンドボックス突破):シェルビルトインコマンド(export、cdなど)を組み合わせることでCursorのサンドボックス制限を回避し、開発者の全ファイルにアクセスする
  • ステップ3(永続化とトンネル接続):〜/.zshenvへ永続化コードを書き込み、cursor-tunnelバイナリを経由して攻撃者のサーバーへの常時接続を確立する
チップス

警告もなく、気づかないうちに攻撃者のサーバーにつながっちゃうんでしゅね……怖すぎるでしゅ。

ボス

しかも、Cursorが持つクラウドサービスへの認証情報もすべて盗まれる。開発者はGitHubやAWSにサインインした状態で使うことが多いからな。被害が開発者個人を超えて組織全体に広がる危険がある。

今すぐ取るべき対策

脆弱性の影響を受けるのはCursor 3.0未満の全バージョンです。以下の対策を取りましょう。

  • Cursorを最新の3.0以降にアップデートする(Help → Check for Updates)
  • 信頼できないリポジトリをCursorのエージェントモードで開かない運用ルールを設ける
  • 開発環境に紐づいたクラウド認証情報(GitHub、AWSなど)の権限を最小限に絞る

MCPサーバーや接続済みサービスを経由した間接プロンプトインジェクションのリスクもあるため、AIエージェントが自動で読み込むソースを組織として管理することが重要です。

まとめ:AIツールのセキュリティ管理が新たな課題に

チップス

さっそくCursorをアップデートするでしゅ!それと、知らないリポジトリをむやみに開かないようにするでしゅ!

ボス

ふふふ、正しい判断だ。AIが「自動でやってくれる便利さ」は、裏を返せば「自動で攻撃を実行してしまうリスク」でもある。ツールを使う側が仕組みを理解することが、今の時代の基礎的なセキュリティリテラシーだな。

AIコーディングツールCursorに発見されたプロンプトインジェクション脆弱性は、「AIが便利に実行する」という設計の裏面が攻撃に転化した典型的なケースです。
Cursor 3.0へのアップデートで修正されるものの、今後も同様の手法はほかのAI開発ツールに応用される可能性があります。
開発チーム全体でAIツールのバージョン管理と利用ルールを整備することが、サプライチェーンリスクへの実践的な対策です。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次