MCPoison という新たな攻撃ベクター：Cursor IDE における不適切な MCP 検証とは？

New MCPoison Attack Leverages Cursor IDE MCP Validation to Execute Arbitrary System Commands

2025/08/05 CyberSecurityNews — 急速に成長する AI-powered 開発環境 Cursor IDE に、深刻な脆弱性が発見された。この脆弱性を悪用する攻撃者は、Model Context Protocol (MCP) システムの操作を通じて、永続的なリモート・コード実行の可能性を手にする。この “MCPoison” と名付けられた脆弱性 CVE-2025-54136 は信頼検証の欠陥に起因するものであり、それを悪用する攻撃者は、セキュリティ警告をトリガーすることなく、開発者マシン上での任意のコマンド実行を達成する。

Cursor IDE は、従来からのコード編集機能と、LLM の高度な統合機能を組み合わせた、人気の高い AI 支援開発プラットフォームの一つである。

このプラットフォームの魅力は、MCP コンフィグを介した高度な自動化の機能にある。それにより、リモート API や／LLM 生成コマンド／ローカル・システム操作などを取り込み、開発ワークフローがシームレスに実行されていく。

この脆弱性は、前述のとおり、Cursor の MCP 実行の信頼検証モデルにおける、根本的な欠陥に起因している。

Cursor は、最初の MCP コンフィグ時にはユーザーの承認を求めるが、その後における、承認済み MCP コンフィグについては、追加の検証やユーザーの同意を求めることなく、自動的に信頼してしまうという。

このデザインが形成するのは、一度だけの承認を悪用し、永続的かつサイレントなコード実行を実現する、危険な攻撃ベクターである。

MCPoison 攻撃の回避

MCPoison 攻撃は、単純に見えながらも、きわめて効果的な手法となる。最初に攻撃者は、基本的なシステム・ユーティリティなどの無害なコマンドを取り込んだ MCP コンフィグ・ファイル (.cursor/rules/mcp.json) を、共有リポジトリにコミットする。

続いて開発者が、Cursor でプロジェクトを開くと、標準的な承認プロンプトが表示され、無害なコマンドであるため、その MCP コンフィグが承認される。しかし、この最初の承認の後に深刻な脆弱性が発生する。つまり Cursor は、実際のコマンドや引数の検証を行わず、MCP キー名だけに信頼を結び付ける。

それにより攻撃者は、承認された MCP エントリを後から変更し、リバースシェル／データ窃取ツール／永続的なバックドアなどの、任意の悪意のコマンドを実行することが可能となる。これらの変更は、開発者が Cursor を再度起動するたびにサイレントに実行され、継続的な攻撃ベクターとなる。

Check Point の研究者たちは、被害者が IDE を起動するたびに自動的にアクティブとなるリバースシェル・ペイロードを展開することで、この脆弱性の深刻性を実証した。

この悪意のペイロードは、リポジトリの同期後やプロジェクトの再開後も持続的に機能し、信頼されるはずの開発環境を、自動化された攻撃プラットフォームへと変化させる。

Cursor の MCP システムは、プロジェクト固有のコンフィグを “.cursor/rules/mcp.json” ファイルに保存する。それぞれのエントリには、MCP 名／コマンド／オプション引数が定義されている。そして、Cursor プラットフォームは、プロジェクト起動時に “.cursor/” ディレクトリを自動スキャンし、MCP に関連するコンフィグを処理する。

この信頼モデルは、ユーザーが始めて MCP コンフィグを行う際に承認を求めるという、一度限りの承認プロセスに依存している。しかし、このシステムは、承認済みコンフィグの変更を検出しないため、攻撃者は元の MCP 名を維持しながら、悪意あるコマンドに置換することが可能となる。

このアーキテクチャ上の欠陥により、共同開発環境においては、高度なサプライチェーン攻撃が成立する。リポジトリへの書き込み権限を持つ攻撃者は、初期段階では無害な MCP コンフィグを投入し、それに続くサイレントなコマンド置換により、ユーザーの追加操作を必要とすることなく、権限昇格を図ることが可能となる。

2025年7月16日の時点で Check Point Research は、Cursor 開発チームに対して、この脆弱性を責任をもって報告した。それを受けて迅速に対応した Cursor は、2025年7月29日にバージョン 1.3 をリリースしている。このバージョンでは、MCP コンフィグ変更時にも、必ず承認プロンプトを表示する仕組みが導入され、この問題は根本から解決された。

この修正により、空白文字を１文字追加するだけの小さな変更であっても、新たな承認要求が発動するようになった。

Cursor のリリース・ノートには、このセキュリティ修正に関する明示的な記載はなかったが、Check Point の研究者が独自にテストを行い、この脆弱性が修正されたことを確認した。

したがってユーザーは、変更された MCP コンフィグを実行する前に、明示的な承認／拒否の操作を要求されることになり、従来からの信頼バイパスは無効化された。

今回の公開は、AI-powered 開発プラットフォームを対象とする、計画的な脆弱性評価シリーズの第一弾である。AI に支援されるコーディングツールがソフトウェア開発ワークフローに統合される流れの中で、セキュリティ研究者たちが明らかにする新たな攻撃ベクターは、従来からのソフトウェア・セキュリティの境界と、人工知能および自動化が交差する領域に存在する。

セキュリティ専門家たちが MCPoison 攻撃について指摘するのは、AI システムが自動化と信頼に基づく設計であるがゆえに、支援対象であるユーザーに対する武器へと変貌する可能性である。

Cursor IDE を使用している組織にとって必要なことは、バージョン 1.3 以降へと速やかにアップデートし、MCPoison から身を守ることだ。

Cursor IDE に見つかった脆弱性 MCPoison は、信頼モデルの設計における見落としに起因するものです。初回の承認以降、MCP コンフィグの変更に対して追加の確認が行われないため、それを悪用する攻撃者は、悪意のコンフィグへと書き換え、ユーザーの操作を必要としないコード実行を達成すると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、カテゴリ AI/ML および、MCP で検索も、ご参照ください。