AIコーディングツール 「Cursor」に持続的RCE脆弱性
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社の脅威インテリジェンス部門 Check Point Research(CPR) は、AIコーディングツール 「Cursor」 において、一度承認されたMCP(Model Context Protocol)設定が改変されても再承認が不要となる挙動を突き、ユーザーの追加承認なしに持続的なリモートコード実行(RCE)が成立し得る重大な脆弱性を発見したと発表した。
背景:AI統合IDEの“信頼モデル”が抱える課題
CPRは、開発ワークフローにLLMと自動化が深く組み込まれている現状において、ツールの背後にあるセキュリティモデルを検証する研究を進めている。CursorのようなAIコーディングツールは効率化を促す一方、自動化への信頼が悪用されるリスクが拡大していると指摘する。今回の脆弱性は、AI支援型開発環境におけるトラストモデルの弱点を具体的に示したものである。
脆弱性の技術的仕組み
MCPは、Cursorにタスク自動化の方法を指示する設定ファイルであり、ツール/スクリプト/AIワークフローを開発環境へ統合するために用いられる。MCPを含むプロジェクトを初めて開く際にだけ信頼可否の承認プロンプトが表示されるが、承認後に設定内容が変更されても再確認は行われない。そのため、改変されたMCPが以後サイレントに実行され、コード実行が自動で繰り返され得る。
攻撃シナリオ
CPRは、共有開発における典型的な連鎖を次のように説明している。
- ステップ1:無害なMCP—まず無害に見えるMCP設定をプロジェクトに追加し、被害者に承認させる。
- ステップ2:密かな切替—承認後に悪意のコードへ密かに置換(例:リバースシェル、危険なシステムコマンド)。
- ステップ3:自動実行—以後、被害者がプロジェクトを開くたびに無警告で実行される。
- ステップ4:持続的アクセス—長期の潜伏・窃取・横展開の拠点となる。
実際の影響と想定被害
この欠陥は、共有リポジトリでプロジェクトを同期する組織にとって、発見されにくい長期の侵入拠点を攻撃者に与えうる。具体的には、ユーザー通知なしの自動実行による静かな持続性、書き込み権限を持つ開発者なら誰でも介入可能な広範な攻撃対象領域、開発端末に保存された認証情報・クラウドアクセスキーの悪用による権限拡大、ソースコードや内部コミュニケーション等の窃取、さらにAIツールチェーン全体の信頼破綻といったリスクが示されている。
情報開示と修正のタイムライン
CPRは2025年7月16日にCursorの開発チームへ責任開示を行い、Cursorは7月30日に修正プログラムを発表した。その後、米国時間8月5日に英語ブログを公開し、本件の日本語リリースを8月18日13時00分に公表している。
2025年7月16日:CPRがCursor開発チームへ責任開示。
2025年7月30日:Cursorが修正プログラムを発表。
2025年8月5日(米国時間):本件の英語ブログを公開(当和文リリースの出典)。
2025年8月18日 13時00分:日本語リリースを公表。
位置づけ
CPRは、当該脆弱性がAI統合が進む開発ツールに内在する“信頼のメカニズム”の弱点を示すものであるとし、ベンダーとの緊密な連携と継続的監査の重要性を強調している。
