AIを活用したコードエディタ「Cursor IDE」で、間接プロンプトインジェクションを悪用したリモートコード実行(RCE)脆弱性が相次いで発見されています。複数のセキュリティ研究者が報告した脆弱性は、エージェント型開発ツールが抱える根本的なセキュリティ課題を浮き彫りにしています。
特に深刻なのがCVE-2026-22708として報告されたシェル環境汚染の脆弱性です。この脆弱性では、「git」や「man」といったコマンドが依存するPAGER環境変数が、ユーザーが承認した無害に見える「export」コマンドを通じて密かに書き換えられます。一度汚染されると、その後のgitやmanの実行がすべて攻撃者のコード実行をトリガーする仕組みです。Cursorは修正パッチをリリースし、サーバーサイドパーサーが分類できないコマンドには明示的なユーザー承認を要求するようになりました。
Aim Labsが発見した「CurXecute」と呼ばれるCVE-2025-54135も深刻度8.6の高リスク脆弱性です。外部でホストされた単一のプロンプトインジェクションにより、~/.cursor/mcp.jsonが密かに書き換えられ、攻撃者が制御するコマンドが実行されます。バージョン1.3で修正されましたが、それ以前のすべてのリリースが影響を受けます。Hacker Newsでは「ユーザーが承認した無害なコマンドが任意コード実行に変換される可能性がある」として、エージェントIDEの根本的なセキュリティ課題を指摘する声が上がっています。
Check Point Researchは、CursorのModel Context Protocol(MCP)システムに永続的なRCE脆弱性を発見しました。ユーザーがMCP設定を一度承認すると、攻撃者はその後密かに動作を変更でき、プロジェクトを開くたびに悪意あるコマンドが通知なしで実行される恐れがあります。AIエージェントの自律性が高まる中、こうした「信頼の連鎖」を悪用した攻撃への対策が急務となっています。
| - [Cursor vulnerability enables stealthy RCE | SC Media](https://www.scworld.com/news/cursor-vulnerability-enables-stealthy-rce-via-indirect-prompt-injection) |
|---|---|
| - [CVE-2025-59944: Cursor Case-Sensitivity Bug | Lakera](https://www.lakera.ai/blog/cursor-vulnerability-cve-2025-59944) |
| - [CurXecute – RCE in Cursor via MCP Auto-Start | AIM](https://www.aim.security/post/when-public-prompts-turn-into-local-shells-rce-in-cursor-via-mcp-auto-start) |
| - [Cursor MCP Persistent RCE | Check Point](https://blog.checkpoint.com/research/cursor-ide-persistent-code-execution-via-mcp-trust-bypass/) |