カーソル 0day:フルディスクローラこそが最終防衛手段となる時

2026/07/15 2:58

カーソル 0day:フルディスクローラこそが最終防衛手段となる時

RSS: https://news.ycombinator.com/rss

要約

Japanese Translation:

Mindgard は、Cursor IDE で Windows 上でユーザーの操作なしに悪意のあるバイナリが自動的に実行される深刻なセキュリティ脆弱性を暴露しました。2025 年 12 月 15 日、Mindgard は Cursor の任意のコードの実行(Arbitrary Code Execution)脆弱性を特定し、無害なアプリ(例:計算機)から改名された悪意のある

git.exe
がレポジトリのルートに配置されているプロジェクトを開いた際にトリガーされることが確認されました。この問題 affects Windows ユーザーで IDE の 70 バージョン以上に影響し、2026 年 4 月 30 日までにバージョン 3.2.16 で検証されており、ログにより現在のユーザーの権限下での実行が確認されています。

Cursor は約 700 万人以上のアクティブユーザー、100 万人以上の日次アクティブユーザー、100 万人以上の有料ユーザーを抱え、5 万社以上の企業をサービス対象としており、報告された市場価値は 600 億ドルです。この大規模なスケールにもかかわらず、脆弱性への有意義な対応は発見から数か月后才に開始されました:2025 年 12 月 15 日に

security-reports@cursor.com
へ最初の協調開示(coordinated disclosure)が送られ、その後の 7 ヶ月間にわたり追跡連絡が行われたにもかかわらず、実質的な対応がない状態で 2026 年 7 月まで続きました。Cursor の CISO が自動化システムの障害後に手動でアクセスした HackerOne のプライベートバグ bounty プログラムでは、報告は当初「Informative」としてクローズされ、再現確認後に見直されました。2026 年 2 月 16 日からの複数の更新要請および HackerOne によるエスカレーションにもかかわらず、是正措置やユーザー通知に関する公的な更新は一切受け取っていませんでした。

この長期間にわたるコミュニケーションと是正の進捗不足により、Mindgard は全面的な公開開示を促しています。管理された Windows システムについてはレポジトリルートを対象としたパスベースの否認ルール(deny rules)を用いた AppLocker または Windows App Control を使用することを推奨し、コンシューマユーザーについてはパッチ適用までの間は信頼できないレポジトリを開く場合にのみ隔離環境(VM、Windows Sandbox、または使い捨てデプロイメント)を使用するよう提言しています。この事件は、主要な AI 企業が急成長に伴いセキュリティ修復を優先順位を下げる可能性、SpaceX による買収の影響、あるいは多すぎるバグ bounty パイプラインへの対処不足などによりセキュリティインフラの能力が seemingly 見落されていることに対する責任問題の拡大を示しています。

本文

Cursor の未修正脆弱性:任意のコード実行と企業の対応遅延

🔍 脆弱性の概要

  • 発覚状況: 2025 年 12 月にセキュリティ企業「Mindgard」が発見。
  • 現状: 発見から 7 ヶ月以上(約 70 のアップデート)が経過しても修復されていない。
  • リスクレベル: 。特定の条件を満たせば、ユーザーの権限下で任意のコードが自動的に実行される。

🛑 障害の仕組みと危険性

  • 根本原因: プロジェクトをロードする際、Cursor は
    git.exe
    を検索するが、ルートにある作業目录(Working Directory)にも探求範囲が含まれている
  • 悪意のあるバイナリ: リポジトリのルートに置かれた悪意のある
    git.exe
    があると、クリック、プロンプト、承認ダイアログなどの介入なしに 自動的に実行される
  • 被害シナリオ:
    • 開発者が通常の動作中に Cursor を起動するだけで攻撃が成功する。
    • 特定のサイクルで繰り返し実行され、多数のインスタンスが生成される。
    • 電卓アプリなど無害なプログラムの名前を騙して実行可能(PoC)。
  • 影響範囲:
    • Cursor は7,000 万人以上のアクティブユーザーを抱える AI 開発環境。
    • 企業価値は約6,000 億ドルに達している。
    • 脆弱性の単純さに対し、这么大規模なセキュリティ慣行の不備が露呈している。

💻 技術的デモとログ解析

  • 確認環境: Windows / Cursor バージョン 3.2.16 / 研究者の権限下
  • PoC 実行結果:
    • リポジトリルートに
      git.exe
      を配置し、Cursor を起動。
    • システムは自動的に名前を変えられたバイナリ(例:
      c:\Users\...\git.exe
      )を検出し、コマンド
      git rev-parse --show-toplevel
      を実行する。
  • プロセスログ例:
    16:25:12.6209706	Cursor.exe	54880	Process Create	c:\Users\aport\Documents\Audits\cursor\test_repos\git_exec0001\git.exe	SUCCESS	PID: 48972, Command line: git rev-parse --show-toplevel
    "C:\Users\aport\AppData\Local\Programs\cursor\Cursor.exe"	C:\Users\aport\AppData\Local\Programs\cursor\Cursor.exe
    
  • 結論: 攻撃者は実際のコード(例:マルウェア)を実装すれば、このパス解決ロジックを利用して**任意のコード実行(Arbitrary Code Execution)**が可能になる。

🛡️ ユーザーへの緊急対応策

企業・管理下の Windows システム

  • 推奨対応: AppLocker または Windows App Control ポリシィを使用して、実行可能ファイル名の経路ベースのブロックを行うこと。
    • 例:
      %USERPROFILE%\source\repos\*\*.exe
      のようなパターンで拒否する。
  • 注意点: ハッシュベースのルールでは攻撃者のバイナリをブロックできない可能性があるためパスベースが重要。Windows 標準機能では親プロセスからの子孫実行を直接ブロックする機能はないため、EDR やカスタムセキュリティ製品の導入が必要。

個人・消費者向けシステム

  • 推奨対応: 不審なリポジトリを開く際は、隔離された環境(仮想マシン、Windows Sandbox、使い捨て環境)のみを使用すること。
  • 警告: ファイルハッシュリストに依存しないでください。

📅 脆弱性発覚と報告のタイムライン

日付アクション
2025-12-15Mindgard で脆弱性発見および報告(security-reports@cursor.com
2025-12-18受領確認を求められるフォローアップメール送信
2026-01-13LinkedIn で Cursor の接触支援を開始
2026-01-15Cursor CISO が返信(HackerOne ワークフローの自動化ミスによる遅延)
2026-01-15HackerOne を通じた脆弱性報告の再提出と招待
2026-01-16初期報告は「参考情報(Informative)」かつスコープ外としてクローズされた(異議申し立てにより再開)
2026-01-20HackerOne で問題の再現と詳細交付が確認
2026-02-16 ~ 4-01複数回のアップデート要求に対し、回答なし(無視された状態)
2026-03-17CISO への直接アプローチでアップデート要請
2026-06-01HackerOne が Cursor からのアップデートがないことを確認
2026-06-03HackerOne から公的開示に関するガイダンス提供
2026-07-14完全開示(このブログ記事)の公開

❓ なぜ修復されないのか?企業の姿勢について

  • 対話の破綻: 初期報告から現在に至るまで、7 ヶ月に及ぶ間も意味のある進捗は見られなかった
  • 優先順位の疑問:
    • 巨大な成長・投資の最中に、ユーザー安全が後回しにされているのではないか?
    • アラート処理パイプライン(バグボounty)が過負荷になっているのではないか?
    • コミュニケーション停止でありながらソフトウェア配布を続けたことへの責任問題。
  • セキュリティ研究の原則: 協調的開示の目的は「リスク低減」だが、ベンダー側が沈黙を続ける場合、研究者は不愉快でも公に開示せざるを得ない

🌐 より広範な課題:信頼と完全開示

  • AI 企業の特性: ユーザーからコード、リポジトリ、認証情報を預かるため、セキュリティへの信頼が最も重要である。
  • 完全開示の理由:
    • コミュニケーションの欠如を改善する唯一の方法として、すべての詳細を公開する。
    • 影響を受ける組織に対し、代償的制御の実装やリスク評価を行う機会を与えるため。
  • メッセージ: 「有用だから信用」という姿勢ではなく、「行動で信頼を示す」ことが不可欠である。

同じ日のほかのニュース

一覧に戻る →

2026/07/15 2:50

bonsai27b:スマートフォンで動作する 270 億パラメータモデル

## Japanese Translation: PrismML は、Qwen3.6 を基盤とする画期的なマルチモーダル AI モデルである Bonsai 27B をリリースしました。これは持続可能かつオンデバイス的人工知能へと向かう転換点を示すものです。Bonsai はユニークな構造を採用し、ネットワーク全体で低ビット形式のみで動作します(高精度のエスケープハッチはありません)。これにより未曽有の極限圧縮を実現し、1 ビットバイナリ版は 3.9 GB、ターナリー版は 5.9 GB のサイズです。このブリークスルーにより、モデルは iPhone 17 Pro の約 6 GB というメモリ予算内に収めることが可能となり、従来の構築(16 ビットで約 54 GB、4 ビットで約 18 GB)とは対照的です。この圧縮にもかかわらず、Bonsai は重要な数学、コーディング、ツール呼び出しタスクにおいて、フル精度モデルの知能を 90%〜95% 維持しています。 エンドツーエンドの低ビットアーキテクチャとコンパクトな 4 ビットビジョンタワーを備えた Bonsai は、大規模なコンテキストウィンドウ(262K トークン)をサポートし、高速な推論を実現します(NVIDIA RTX 5090 では最大 163 トークン/秒)。これは標準モデルと比較してギガバイトあたり十倍以上の高い知能密度を提供することで、新たな産業基準を設定しています。この革新により、ユーザーはプライバシーを重視するエージェントワークロードをローカルで実行でき、ファイルや画面入力といったデータをオンデバイスに保持し、追加のコンピューティングコストなしで動作します。最も先進的なタスクがハイブリッド戦略によってクラウド接続を利用することもあるかもしれませんが、Bonsai は即座に Apple デバイス上のネイティブデプロイメント(MLX を通じて)および NVIDIA GPU 上のデプロイメント(CUDA を通じて)をサポートします。Apache 2.0 ライセンスの下でリリースされ、無料の開発者向けプレビュー API が提供されており、データ流出のリスクなしに高度なエージェントワークフローへのアクセス可能な経路を提供します。

2026/07/15 6:15

Dependabot のバージョン更新機能でデフォルトのパッケージ冷却期間が導入されます

## Japanese Translation: GitHub の Dependabot は、バージョン更新用のプルリクエストを自動的に作成する前に 3 日間の待機期間を導入する新たなセキュリティ対策を実装しています。この重要な変更は、パブリケーションの直後にマルウェア攻撃者がパッケージリリースを乗っ取るサプライチェーン攻撃からソフトウェアリポジトリを守ることを目的としています。これらのリクエストの作成を遅らせることで、管理者らはそのコードがビルドプロセスに投入される前に、潜在的に汚染されたコードを検査するための十分な時間を確保できます。重要なのは、この安全バッファは重要なセキュリティ更新には適用されない点です。セキュリティ更新は、不可欠な脆弱性パッチへの即時アクセスを確保するために待機期間を完全に迂回します。GitHub Enterprise Server のバージョン 3.23 以前を管理する組織は、後ほどアップグレードする必要があります。また、他の組織も `.github/dependabot.yml` ファイルを介して設定を即座に構成し、このウィンドウを調整または無効化できます。結論として、この更新により、堅牢なセキュリティ衛生と運用上の柔軟性のバランスが達成され、急速な悪意のあるデプロイのリスクは低減しつつ、必要な依存関係の改善は遮断されることなく対応されます。

2026/07/15 1:57

塔はしきりに高まる

## 日本語訳: 核心となる論点は、AI を支援したプログラミングは、チームがシステムアーキテクチャについての共有理解を失うにつれてソフトウェア開発が引き続き進むという危険なパラドックスを生み出すと主張している。創世記におけるバベルの塔に関する聖書の物語とは異なり、そこでは神は統率能力を取り除くことによる協調性を妨げ、建設を停止させるために共通言語を撤去したが、現代の AI ツールは無休憩の通訳として機能する。これらのエージェントは、チームとの即時的な調整が必要ないかシステム全体モデルを取得することなく、孤立した開発者がローカルな変更(例えば OAuth やキャッシングの追加など)を行うことを可能にする。 この人工知能への依存リスクは、「アーキテクチャ言語」——つまり、概念、境界線、不変条件、所有権、およびシステムの形状に関する集合的な精神地図——が人間の記憶から薄れ去る原因となり得る。以前では摩擦(コードを読むこと、質問すること)が人々を同期させるのに役立っていたが、現在はエージェントがこの摩擦を取り除くことで、共有理解が崩壊しながらも変更が適用されることを可能にしている。その結果、個人は特定の機能を効率的に管理する一方、システム全体はその健全性を保つために必要な集合的知識から切り離されてしまう。その結果、開発者がコンポーネントがどのように互いに組み合わさっているかを説明できなくなった後でも、重要な変更を施す状態が生じる。この変化は、複雑なソフトウェアが誰一人として大局的な含意を完全に理解していないまま進化する可能性のある将来の脆弱性を生み出す恐れがあり、それはブルーゲルによる協力失敗を描いた作品に似た混沌としたプロジェクトにつながりうる。

カーソル 0day:フルディスクローラこそが最終防衛手段となる時 | そっか~ニュース