セキュリティ企業Cato Networksの調査部門Cato AI Labsは、AIコーディングエディタCursorに存在する2件の重大な脆弱性を発見し、DuneSlideと名付けて公表しました。CVE-2026-50548とCVE-2026-50549として登録されたこの2つの脆弱性は、いずれもCVSSスコア9.8という深刻度で、ユーザーが不審な操作を行ったという自覚がないまま、間接プロンプトインジェクションだけでCursorのサンドボックスを脱出し、OSレベルで任意のコードを実行できてしまうというものです。当サイトでも以前、Claude Codeのネットワークサンドボックスを迂回できる脆弱性や、Google Gemini CLIのCVSS 10.0の脆弱性を取り上げましたが、今回のCursorの事例も同じ系譜にある、AIコーディングエージェントのサンドボックス設計そのものを問う内容です。
サマリー
- Cato Networks(Cato AI Labs)は、AIコーディングエディタCursorに存在する2件の重大な脆弱性を発見し、DuneSlideと名付けて公表した
- 脆弱性はCVE-2026-50548とCVE-2026-50549として登録され、いずれもCVSSスコア9.8
- ユーザーの明示的な操作なしに、間接プロンプトインジェクションだけでCursorのサンドボックスを脱出し、OSレベルで任意のコードを実行できる
- 1つ目は、コマンド実行の作業ディレクトリを指定するworking_directoryパラメータの検証不備によるもので、プロンプトインジェクションによってこの値を書き換えられ、本来はプロジェクトディレクトリ内に制限されるはずのファイル書き込みを外部の任意の場所へ向けられる
- 2つ目は、シンボリックリンクのパス正規化処理における抜け穴によるもので、正規化に失敗した場合にCursorがシンボリックリンク自体のパスをそのまま使ってしまうフォールバック処理があり、境界チェックを回避してサンドボックスの実行ファイル自体を書き換えられる
- 2026年2月にCato NetworksからCursorへ報告され、2026年4月2日リリースのCursor 3.0で修正済み。本稿執筆時点で実際の悪用は確認されていない
- Cato Networksは、同様の脆弱性を他の主要なAIコーディングエージェントについても責任ある開示のプロセスを通じて報告中だとしており、これがCursor固有の問題ではなく業界全体の構造的な課題であることを強調している
| 項目 | 内容 |
|---|---|
| 発見者 | Cato Networks(Cato AI Labs) |
| 脆弱性名 | DuneSlide |
| CVE番号 | CVE-2026-50548、CVE-2026-50549 |
| CVSSスコア | いずれも9.8 |
| 対象製品 | AIコーディングエディタCursor(バージョン3.0未満) |
| 攻撃条件 | ユーザーの明示的な操作不要(ゼロクリック)、間接プロンプトインジェクションのみ |
| 影響範囲 | サンドボックスを脱出しOSレベルで任意のコード実行 |
| Cursorへの報告日 | 2026年2月 |
| 修正版 | Cursor 3.0(2026年4月2日リリース) |
| 悪用実績 | 本稿執筆時点で確認されていない |
目次
何が起きたか
Cursorは、Visual Studio Codeから派生したAIネイティブの統合開発環境で、Fortune 500企業の半数以上が利用しているとされるほど、企業のソフトウエア開発現場に広く浸透しているツールです。Cursorのエージェント機能は、開発者に代わってターミナルコマンドを実行できますが、こうした自動実行のたびに逐一ユーザーへ承認を求めていては開発体験が損なわれてしまいます。そこでCursorは、コマンド実行をサンドボックスという隔離環境に閉じ込め、既定の設定ではファイルの書き込み先を現在のプロジェクトディレクトリ内に制限することで、万が一エージェントが悪意ある指示に従ってしまった場合でも被害を限定するという設計を採用していました。
Cato Networksが発見したのは、この防御の要であるサンドボックスの境界そのものを、通常のユーザー操作を介さずに突破できてしまう2つの独立した経路です。攻撃者は、MCPサーバーからの応答やWeb検索結果など、Cursorが日常的に取り込む外部コンテンツの中に悪意ある指示を仕込んでおくだけで済みます。開発者が何気なく発したごく普通のプロンプトが、この汚染された外部コンテンツを取り込んだ瞬間に、攻撃者の用意した指示がエージェントへの命令として実行されてしまう、いわゆるゼロクリックの間接プロンプトインジェクションです。
working_directoryパラメータを悪用した1つ目の脆弱性
1つ目の脆弱性は、Cursorのエージェントがターミナルコマンドを実行する際に使うrun_terminal_cmdというツールに関するものです。このツールにはworking_directoryという、コマンドを実行する作業ディレクトリを指定するパラメータが存在します。本来、サンドボックスはコマンドの実行対象を現在のプロジェクトディレクトリ内に制限するはずですが、このworking_directoryに既定値以外の値が設定されると、その指定されたパスがそのまま許可リストに追加されてしまうという検証不備がありました。
間接プロンプトインジェクションによってエージェントを操り、このworking_directoryを攻撃者が指定した任意の外部パスに設定させることができれば、本来はプロジェクトディレクトリの外に出られないはずのファイル書き込みが、その外部パスに対して可能になってしまいます。これを悪用すると、サンドボックスの実行制御を担うcursorsandboxという実行ファイル自体を上書きしたり、コマンド実行のたびに読み込まれるシェルの設定ファイルへ悪意あるスクリプトを書き込んだり、あるいはmacOSの~/Library/LaunchAgentsのような、OS起動時に自動実行される場所へ悪意あるスクリプトを配置したりすることが可能になります。サンドボックスの実行制御そのものを上書きされてしまえば、その後に実行されるコマンドはサンドボックスの制限を一切受けない状態になります。
シンボリックリンクのパス正規化を悪用した2つ目の脆弱性
2つ目の脆弱性は、1つ目とは完全に独立した別の経路です。Cursorのエージェントは、あるパスがプロジェクトディレクトリの範囲内にあるかどうかを確認するため、シンボリックリンクを解決してその実際の位置を特定するパス正規化という処理を行います。ここに、正規化の処理そのものに起因する抜け穴がありました。パスが存在しない場合や、ディレクトリの読み取り権限がない場合など、何らかの理由で正規化そのものに失敗すると、Cursorは解決後のパスではなく、シンボリックリンクの元のパスをそのまま使ってしまうフォールバック処理を行っていたのです。
攻撃者は、プロンプトインジェクションによってエージェントに指示し、プロジェクトディレクトリの内部に、外部の任意のファイルを指す書き込み専用のシンボリックリンクを作成させます。このシンボリックリンクの解決が意図的に失敗するよう仕向けることで、Cursorの境界チェックは解決後の実際の位置ではなく、シンボリックリンク自体のパス(つまりプロジェクトディレクトリ内にあるように見えるパス)を確認対象としてしまいます。これにより、実際の書き込み先がプロジェクトディレクトリの外にあるにもかかわらず、境界チェックをすり抜けてしまい、1つ目の脆弱性と同じくcursorsandbox実行ファイルへの書き込みが可能になります。2つの脆弱性はそれぞれ異なる不備に起因していますが、最終的にはどちらもサンドボックスの実行制御そのものを乗っ取れるという同じ地点に到達する点が共通しています。
原因はサンドボックスの境界検証をパラメータの信頼に委ねた設計にある
今回の2つの脆弱性に共通する根本的な原因は、サンドボックスという隔離の仕組みを実現するための境界チェックが、エージェント自身が生成・制御するパラメータの値を無条件に信頼してしまっていた点にあります。ネットワークエンジニアとして境界防御の設計に携わってきた経験から言うと、境界を守る仕組みそのものが、境界の外にあるかもしれない入力によって設定変更されてしまうという構図は、古典的な権限昇格の脆弱性と本質的に同じパターンです。AIエージェントの場合、この入力元が人間の悪意ある操作ではなく、エージェントが自律的に取り込んだ外部コンテンツになりうるという点が、通常のソフトウエアセキュリティの延長線上にありながらも、独自の難しさを生んでいます。
Cato Networksが強調しているのは、この問題がCursorという1つの製品に固有のバグではないという点です。同社は、他の主要なAIコーディングエージェントについても類似のロジック上の欠陥を発見しており、責任ある開示のプロセスを進めていると説明しています。つまり、プロンプトインジェクションによって引き起こされる被害はモデルの出力内容を汚染するだけにとどまらず、これまでソフトウエアの実行経路として意識されてこなかった部分にまで攻撃対象を広げつつあるということです。当サイトで以前紹介したロシア系脅威アクターがCursorとClaude Opus 4.5を組み合わせてEDR回避マルウェアを自動開発した事例でも触れた通り、Cursorのようなツールは正規の開発を支援する一方で、攻撃者にとっても強力な道具になり得る両面性を持っています。今回のようにツール自体に境界突破の抜け道があるとなれば、この両面性がさらに増幅されかねません。
情報システム部門への示唆
自組織でCursorを利用している場合、まずバージョンが3.0以降になっているかを確認し、なっていなければ速やかにアップデートしてください。今回の脆弱性は本稿執筆時点で実際の悪用は確認されていませんが、CVSS 9.8という深刻度と、ユーザーの明示的な操作を必要としないゼロクリックという攻撃条件を踏まえると、優先度を上げて対応すべき事案です。
あわせて、Cursorに限らずAIコーディングエージェント全般を業務で利用している場合は、エージェントが外部コンテンツ(Web検索結果、MCPサーバーからの応答、外部ドキュメントなど)を取り込む際の運用ルールを見直すことをお勧めします。当サイトで以前取り上げたClaudeのFiles APIを悪用した情報持ち出しの脆弱性でも共通する点ですが、間接プロンプトインジェクションはユーザー自身が悪意あるプロンプトを入力するわけではないため、通常の入力バリデーションだけでは防ぎきれません。ファイルシステムへの書き込み範囲を監視するエンドポイント側の対策や、AIコーディングエージェントが生成・実行するコマンドのログを継続的に確認する体制を、ツール側のサンドボックス機能だけに頼らない多層防御の一環として整備しておくことをお勧めします。
出典
- Critical Cursor AI Code Editor Flaws Could Lead to OS-Level Remote Code Execution – SecurityWeek
- Sandbox bypass flaws in Cursor IDE highlight prompt injection as an RCE vector – CSO Online
- Critical Flaws in Cursor AI IDE Expose OS-Level RCE Vulnerability and Security Risks – News4Hackers
- Critical RCE Vulnerabilities Found in Cursor IDE – Cyber Security News
- Claude Codeでネットワークサンドボックスの迂回が可能な脆弱性 – セキュリティ対策Lab
- Google Gemini CLIにCVSS 10.0の最高深刻度の脆弱性 – セキュリティ対策Lab
- ロシア系脅威アクターがAIエージェント(Claude Opus 4.5)でEDR回避マルウェアを自動開発 – セキュリティ対策Lab
- ClaudeのFiles API悪用して不正アクセスできるセキュリティホール-間接プロンプトインジェクションの仕組みを解説 – セキュリティ対策Lab








