Cursor バックグラウンド・エージェントの脆弱性:Amazon EC2 インスタンスの完全制御が可能に

Researchers Exploit Cursor Background Agents to Take Over Amazon EC2 Instance

2025/07/24 gbhackers — AIコードエディタ Cursor のバックグラウンド・エージェントに存在する、脆弱性を検証する reco のセキュリティ研究者たちが、Amazon EC2 インスタンスへの不正アクセスに成功した。それにより、クラウド・インフラと密接に統合される、SaaS アプリケーションに関連する重大なリスクが実証された。この脆弱性は、研究者たちにより直ちに Cursor のセキュリティ・チームに報告され、悪用を防止するための保護対策が講じられたという。

初期の発見と攻撃ベクター

Cursor のバックグラウンド・エージェントの、スピンアップ・プロセス中に不審な Docker 操作を検出した研究者たちは、ただちに詳細な調査を開始した。

この調査の突破口となったのは、当初においてデバッグや透明性の目的で設計された、ターミナルを表示するための Cursor UI 内のボタンであった。この機能により、ローカル環境ではなく、リモートマシンとみられる環境に対して、ダイレクトなコマンドライン・アクセスが可能となった。

This inherent privilege allowed for straightforward escalation to root access using the sudo -i command.
This inherent privilege allowed for straightforward escalation to root access using the sudo -i command.

このようにして得られた権限を調査する研究者は、sudo -i を用いることで、root 権限を容易に取得できた。さらに、このターミナル・アクセスを通じて研究者は、リモート・インフラ上でコマンドを実行し、基盤となるシステム・アーキテクチャへのイニシャル・アクセスを確立するに至った。

それに加えて、Cursor エージェントがパッケージを取得し依存関係をインストールするため、侵害されたマシン上の ubuntu ユーザーは、あらかじめ昇格された特権を有していた。

技術インフラストラクチャの分析

こうして root 権限を取得した研究者たちは、Linpeas.sh などのペンテスト・ツールを用いて包括的な列挙を行い、Cursor バックグラウンド・エージェントのオーケストレーションに関する詳細を把握した。

その結果として判明したのは、このエージェントは GitHub との認証にサーバ間トークンを使用し、Cursor Agent として自身を識別しながら、コミットなどの操作を実行していることだった。このトークンは、ユーザーのリポジトリにスコープされており、不正アクセスに悪用される可能性を持っていた。

The complete specifications of the host machine running in AWS.
The complete specifications of the host machine running in AWS.

また、このインフラ分析により確認されたものには、Cursor のエージェント機能の一部としてクロール操作などを担う、 Node.js ベースのサーバ/クライアント・コンポーネントの存在があった。

このインスタンスには、AWS 内で 1TB のストレージ容量を割り当てられ、カスタム Docker イメージ・アーティファクトを用いることで、プロセスがオーケストレーションされていた。

さらに研究者たちは、AWS マシン上でオーケストレーションされた Docker インスタンス内で root 権限を取得した上で、ボリュームマウント・コンフィグにより、ホストマシンが自身のボリュームを当該インスタンスが共有していることを確認した。このコンフィグにより、共有ボリューム内の任意のファイルに対して、root 権限を用いた書き込みが可能であることが判明した。

Docker インスタンスからルート権限を取得し、共有ストレージへの書き込みが可能であることから、研究者は独自に生成した SSH キーペアの公開鍵を /root/.ssh/authorized_keys に書き込み、ホストマシン (IP アドレス 172.17.0.1) に対して、ダイレクトに SSH 接続することが可能になった。

このインシデントが浮き彫りにするのは、クラウド・インフラと連携するデスクトップ・アプリに潜在する、重大な脆弱性の存在である。

Cursor におけるマシン権限/AWS ロール/VPC コンフィグが明確に定義され、厳密に制限されていると、研究者たちは述べている。しかし、その一方では、信頼関係を介した特権昇格の可能性について、引き続き懸念が残ると指摘している。

Amazon EC2 マシンに対する完全な制御と、スコープが限定された GitHub サーバ間トークンが組み合わされることで、暗号資産のマイニングや機密データの窃取といった、リスクが生じることになる。

AI コードエディタである Cursor のバックグラウンド・エージェントに、深刻な脆弱性が発見されました。この問題の原因は、デバッグ用のターミナル機能の不適切な制御にあり、リモート環境に対して root 権限でアクセスできてしまう点にあります。クラウドと連携するアプリでは、こうしたミスコンフィグが深刻な結果を招くと、この記事は指摘しています。ご利用のチームは、十分に ご注意ください。よろしければ、Cursor で検索も、ご参照ください。