
2026/07/15 2:58
カーソル 0day:フルディスクローラこそが最終防衛手段となる時
RSS: https://news.ycombinator.com/rss
要約▶
Japanese Translation:
Mindgard は、Cursor IDE で Windows 上でユーザーの操作なしに悪意のあるバイナリが自動的に実行される深刻なセキュリティ脆弱性を暴露しました。2025 年 12 月 15 日、Mindgard は Cursor の任意のコードの実行(Arbitrary Code Execution)脆弱性を特定し、無害なアプリ(例:計算機)から改名された悪意のある
git.exe がレポジトリのルートに配置されているプロジェクトを開いた際にトリガーされることが確認されました。この問題 affects Windows ユーザーで IDE の 70 バージョン以上に影響し、2026 年 4 月 30 日までにバージョン 3.2.16 で検証されており、ログにより現在のユーザーの権限下での実行が確認されています。
Cursor は約 700 万人以上のアクティブユーザー、100 万人以上の日次アクティブユーザー、100 万人以上の有料ユーザーを抱え、5 万社以上の企業をサービス対象としており、報告された市場価値は 600 億ドルです。この大規模なスケールにもかかわらず、脆弱性への有意義な対応は発見から数か月后才に開始されました:2025 年 12 月 15 日に
security-reports@cursor.com へ最初の協調開示(coordinated disclosure)が送られ、その後の 7 ヶ月間にわたり追跡連絡が行われたにもかかわらず、実質的な対応がない状態で 2026 年 7 月まで続きました。Cursor の CISO が自動化システムの障害後に手動でアクセスした HackerOne のプライベートバグ bounty プログラムでは、報告は当初「Informative」としてクローズされ、再現確認後に見直されました。2026 年 2 月 16 日からの複数の更新要請および HackerOne によるエスカレーションにもかかわらず、是正措置やユーザー通知に関する公的な更新は一切受け取っていませんでした。
この長期間にわたるコミュニケーションと是正の進捗不足により、Mindgard は全面的な公開開示を促しています。管理された Windows システムについてはレポジトリルートを対象としたパスベースの否認ルール(deny rules)を用いた AppLocker または Windows App Control を使用することを推奨し、コンシューマユーザーについてはパッチ適用までの間は信頼できないレポジトリを開く場合にのみ隔離環境(VM、Windows Sandbox、または使い捨てデプロイメント)を使用するよう提言しています。この事件は、主要な AI 企業が急成長に伴いセキュリティ修復を優先順位を下げる可能性、SpaceX による買収の影響、あるいは多すぎるバグ bounty パイプラインへの対処不足などによりセキュリティインフラの能力が seemingly 見落されていることに対する責任問題の拡大を示しています。
本文
Cursor の未修正脆弱性:任意のコード実行と企業の対応遅延
🔍 脆弱性の概要
- 発覚状況: 2025 年 12 月にセキュリティ企業「Mindgard」が発見。
- 現状: 発見から 7 ヶ月以上(約 70 のアップデート)が経過しても修復されていない。
- リスクレベル: 高。特定の条件を満たせば、ユーザーの権限下で任意のコードが自動的に実行される。
🛑 障害の仕組みと危険性
- 根本原因: プロジェクトをロードする際、Cursor は
を検索するが、ルートにある作業目录(Working Directory)にも探求範囲が含まれている。git.exe - 悪意のあるバイナリ: リポジトリのルートに置かれた悪意のある
があると、クリック、プロンプト、承認ダイアログなどの介入なしに 自動的に実行される。git.exe - 被害シナリオ:
- 開発者が通常の動作中に Cursor を起動するだけで攻撃が成功する。
- 特定のサイクルで繰り返し実行され、多数のインスタンスが生成される。
- 電卓アプリなど無害なプログラムの名前を騙して実行可能(PoC)。
- 影響範囲:
- Cursor は7,000 万人以上のアクティブユーザーを抱える AI 開発環境。
- 企業価値は約6,000 億ドルに達している。
- 脆弱性の単純さに対し、这么大規模なセキュリティ慣行の不備が露呈している。
💻 技術的デモとログ解析
- 確認環境: Windows / Cursor バージョン 3.2.16 / 研究者の権限下
- PoC 実行結果:
- リポジトリルートに
を配置し、Cursor を起動。git.exe - システムは自動的に名前を変えられたバイナリ(例:
)を検出し、コマンドc:\Users\...\git.exe
を実行する。git rev-parse --show-toplevel
- リポジトリルートに
- プロセスログ例:
16:25:12.6209706 Cursor.exe 54880 Process Create c:\Users\aport\Documents\Audits\cursor\test_repos\git_exec0001\git.exe SUCCESS PID: 48972, Command line: git rev-parse --show-toplevel "C:\Users\aport\AppData\Local\Programs\cursor\Cursor.exe" C:\Users\aport\AppData\Local\Programs\cursor\Cursor.exe - 結論: 攻撃者は実際のコード(例:マルウェア)を実装すれば、このパス解決ロジックを利用して**任意のコード実行(Arbitrary Code Execution)**が可能になる。
🛡️ ユーザーへの緊急対応策
企業・管理下の Windows システム
- 推奨対応: AppLocker または Windows App Control ポリシィを使用して、実行可能ファイル名の経路ベースのブロックを行うこと。
- 例:
のようなパターンで拒否する。%USERPROFILE%\source\repos\*\*.exe
- 例:
- 注意点: ハッシュベースのルールでは攻撃者のバイナリをブロックできない可能性があるためパスベースが重要。Windows 標準機能では親プロセスからの子孫実行を直接ブロックする機能はないため、EDR やカスタムセキュリティ製品の導入が必要。
個人・消費者向けシステム
- 推奨対応: 不審なリポジトリを開く際は、隔離された環境(仮想マシン、Windows Sandbox、使い捨て環境)のみを使用すること。
- 警告: ファイルハッシュリストに依存しないでください。
📅 脆弱性発覚と報告のタイムライン
| 日付 | アクション |
|---|---|
| 2025-12-15 | Mindgard で脆弱性発見および報告(security-reports@cursor.com) |
| 2025-12-18 | 受領確認を求められるフォローアップメール送信 |
| 2026-01-13 | LinkedIn で Cursor の接触支援を開始 |
| 2026-01-15 | Cursor CISO が返信(HackerOne ワークフローの自動化ミスによる遅延) |
| 2026-01-15 | HackerOne を通じた脆弱性報告の再提出と招待 |
| 2026-01-16 | 初期報告は「参考情報(Informative)」かつスコープ外としてクローズされた(異議申し立てにより再開) |
| 2026-01-20 | HackerOne で問題の再現と詳細交付が確認 |
| 2026-02-16 ~ 4-01 | 複数回のアップデート要求に対し、回答なし(無視された状態) |
| 2026-03-17 | CISO への直接アプローチでアップデート要請 |
| 2026-06-01 | HackerOne が Cursor からのアップデートがないことを確認 |
| 2026-06-03 | HackerOne から公的開示に関するガイダンス提供 |
| 2026-07-14 | 完全開示(このブログ記事)の公開 |
❓ なぜ修復されないのか?企業の姿勢について
- 対話の破綻: 初期報告から現在に至るまで、7 ヶ月に及ぶ間も意味のある進捗は見られなかった。
- 優先順位の疑問:
- 巨大な成長・投資の最中に、ユーザー安全が後回しにされているのではないか?
- アラート処理パイプライン(バグボounty)が過負荷になっているのではないか?
- コミュニケーション停止でありながらソフトウェア配布を続けたことへの責任問題。
- セキュリティ研究の原則: 協調的開示の目的は「リスク低減」だが、ベンダー側が沈黙を続ける場合、研究者は不愉快でも公に開示せざるを得ない。
🌐 より広範な課題:信頼と完全開示
- AI 企業の特性: ユーザーからコード、リポジトリ、認証情報を預かるため、セキュリティへの信頼が最も重要である。
- 完全開示の理由:
- コミュニケーションの欠如を改善する唯一の方法として、すべての詳細を公開する。
- 影響を受ける組織に対し、代償的制御の実装やリスク評価を行う機会を与えるため。
- メッセージ: 「有用だから信用」という姿勢ではなく、「行動で信頼を示す」ことが不可欠である。