セキュリティ研究者が、AIコーディングツール「Cursor AI」に存在する2つの脆弱性を組み合わせた攻撃チェーン「NomShub」を公開しました。間接プロンプトインジェクション(Indirect Prompt Injection)とコマンドサンドボックスのバイパスを連鎖させることで、悪意あるリポジトリをCloneするだけで攻撃者が開発者のホストOSを完全に掌握できる可能性があります。
Security Weekによると、攻撃の流れはまずリポジトリ内に仕込まれた悪意ある文字列がCursor AIのコンテキスト解析をトリガーし、その後の処理でサンドボックスの境界を突破するという二段構えになっています。第一段階の間接プロンプトインジェクションでCursor AIの行動を誘導し、第二段階のサンドボックスバイパスで実際のOSコマンドを実行させる仕組みです。研究者はこの手法で任意ファイルの読み取り、シェルコマンドの実行、ネットワーク外部通信を達成できたと報告しています。
SpaceXがCursorを600億ドルで買収するオプション契約を結んだと報じられた直後のタイミングということもあり、X上では「デューデリジェンスは大丈夫か」と皮肉るポストが多数見られます。r/netsecでは技術的な攻撃パスの解説スレが急上昇し、「CursorだけでなくAIコーディングツール全般で同様の問題が潜在する」との指摘が注目を集めています。Hacker Newsでは「信頼できないリポジトリをAIエージェントで扱う際のリスクモデルを根本から見直す必要がある」として活発な技術議論が続いています。
Cursor AIを利用している開発者は、身元不明のリポジトリをCloneしてAIエージェントに処理させる操作には細心の注意が必要です。特にオープンソースのコードレビューやバグ調査などで外部リポジトリを扱う機会が多い開発者ほどリスクが高くなります。Anysphere社によるパッチのリリース状況や回避策の詳細については公式チャンネルでの最新情報を確認することが推奨されます。