Cato AI Labsは2026年7月1日(現地時間)、AIコードエディタCursorに重大な二つの脆弱性「DuneSlide」を発見し、公開したとthehackernews.comが報じた。これらの脆弱性 (CVE-2026-50548およびCVE-2026-50549) はCVSSスコア9.8と評価され、プロンプトインジェクションを通じてエディタのサンドボックスを迂回し、開発者のコンピューター上で任意のコマンドを実行する可能性を指摘している。Cursorのバージョン3.0より前の全てが影響を受け、バージョン3.0で既に修正済みである。

脆弱性「DuneSlide」は、AIエージェントがターミナルコマンドを発行する際のサンドボックスからの脱出を可能にする。攻撃者はModel Context Protocol (MCP) を通じた接続サービスやウェブ検索結果など、エージェントがユーザーに代わって読み取る情報内に指示を埋め込む。これにより、ユーザーのクリックや承認なしに悪意のある指示が実行される、ゼロクリック攻撃となる。

CVE-2026-50548は、コマンドの作業フォルダーを規定する working_directory パラメータが悪用される。エージェントが非デフォルトパスを設定すると、Cursorはそのパスを書き込み許可リストに追加する。攻撃者はこの機能を悪用し、サンドボックスヘルパー (/Applications/Cursor.app/Contents/Resources/app/resources/helpers/cursorsandbox など) や起動ファイル (~/.zshrc など) のようなシステムファイルを上書きしてサンドボックスを無効化する。

一方、CVE-2026-50549は、ショートカット (シンボリックリンク) の解決における安全チェックの不備を突く。通常、Cursorは書き込み前にショートカットの実際の宛先がプロジェクト内にあるかを確認するが、このチェックが失敗した場合、Cursorはショートカットのプロジェクト内パスを信頼してしまう。攻撃者はプロジェクト外を指すショートカットを作成し、チェックを意図的に失敗させることで、サンドボックスヘルパーを直接上書きし、サンドボックスを無効化できる。

サンドボックスが中和されると、次のコマンドは開発者自身として実行され、マシンやログインしているクラウド/SaaSワークスペースが制御される可能性がある。Cato AI Labsは2月19日にこれらの問題を報告したが、Cursorは当初、MCPサーバーの誤用は脅威モデルに含まれないとして2月23日に拒否した。しかし、Cato AI Labsが2月26日にエスカレートした後、Cursorは報告を再開し、バージョン3.0で修正を適用した。現在、実際の攻撃での悪用は確認されていない。

Cato AI Labsは、同様の脆弱性を他のコーディングエージェントにも開示しており、この問題は特定のケースではなく構造的なものであると主張している。


参考: thehackernews.com (アーカイブ) — 2026年7月2日 09:00 (JST)

原文ハイライト

"Critical Cursor Flaws Could Let Prompt Injection Escape Sandbox and Run Commands"

この記事をシェア
X はてブ LinkedIn