Cursor の深刻な脆弱性:悪意の MCP サーバ経由でビルトイン・ブラウザに悪意のコード注入

Hackers Use Rogue MCP Server to Inject Malicious Code and Control the Cursor’s Built-in Browser

2025/11/17 CyberSecurityNews — Cursor の深刻な脆弱性を悪用する攻撃者は、侵害した MCP (Model Context Protocol) サーバを介して、Cursor のビルトイン・ブラウザに悪意のコードを注入できる。この脆弱性の背景にあるのは、VS Code などの環境とは異なり、Cursor の独自機能に対する整合性の検証が欠落しているという設計上の欠点である。そのため、Cursor は、改竄を試行する脅威アクターたちの格好の標的となっている。

この攻撃は、ユーザーが Cursor のコンフィグ・ファイルを介して、悪意の MCP サーバをダウンロード/登録した段階で開始される。この不正なサーバが有効化されると、Cursor のビルトイン・ブラウザ環境に、任意の JavaScript が直接注入される。この挙動を可能にするのが、サーバ登録時にチェックサム検証が行われないという欠陥であり、それを悪用する攻撃者は未検証のコードを注入できる。

攻撃の仕組み

この注入メカニズムは単純だが効果的な手法である。正規の document.body.innerHTML を、攻撃者が制御する HTML で置き換えることでページ全体を上書きし、UI レベルのセキュリティ・チェックの回避が可能になる。それにより攻撃者は、ユーザーに疑念を抱かせることなく、説得力のある偽のログイン・ページや悪意あるコンテンツを表示できる。

偽のログイン・ページで認証情報を盗み出し、リモート・サーバへ送信する PoC エクスプロイトにより、この脆弱性を Knostic の研究者が実証した。

盗み出した認証情報を悪用する攻撃者は、開発者のワークステーションや企業ネットワークへの完全なアクセスを可能にする。攻撃に必要な手順は最小限であり、ユーザーが MCP サーバを有効化して Cursor を再起動するだけでよい。

この攻撃が実行されると、IDE 内のすべてのブラウザ・タブで悪意のコードが動作し続けるため、攻撃者によるシステムへの継続的なアクセスが可能になる。

この脆弱性が浮き彫りにするのは、開発者エコシステムにおける脅威の増大である。MCP サーバの実行において広範なシステム権限が許可されているため、侵害されたサーバを介したシステム・コンポーネントの改変や権限昇格が生じ、ユーザーに気付かれることなく、不正な操作が実行される可能性がある。

Knostic の報告書によれば、脅威は個々の開発者に留まらない。悪意の MCP サーバ/IDE エクステンション/プロンプトにより、開発者のマシン上でコードが実行される。したがって、それが新たなセキュリティ境界となり、組織は深刻なサプライチェーン・リスクに直面することになる。このように、開発者のマシンが新たなセキュリティ境界を生み出すことが問題となっている。

攻撃者の狙いは、標的とする開発者からエンタープライズ・ネットワーク全体へと攻撃範囲を拡大することにある。この脆弱性が浮き彫りにするのは、AI ベースのコーディング・ツールやエージェントが、攻撃対象領域を拡大し続けている現状である。従来からの開発ツールとは異なり、これらのプラットフォームでは複数の外部コンポーネントが統合されているが、可視性や制御メカニズムは最小限に抑えられている。

このため、ユーザー組織にとって必要なことは、MCP サーバ導入に関する厳格なポリシーの実施/サーバ・ソースの検証/IDE コンフィグの監視などである。また、信頼できないソースからエクステンションやサーバをダウンロードする際に注意を払うべきだと、Knostic の開発者たちは指摘している。この情報が公開される前に、Cursor には通知が行われている。また、研究者たちは広範な悪用を防ぐために、エクスプロイト・コードの公開を控えている。

MCP サーバから渡されるものを、ほぼ無条件で信頼してしまう Cursor の設計に、問題の根本があるのでしょう。サーバ登録時にチェックサムなどによる整合性検証が行われずに、ビルトイン・ブラウザに任意の JavaScript を注入できてしまうという致命的な欠陥が生じています。さらに、そのコードが IDE 内の全タブで動き続けるため、開発者のログイン情報だけではなく、ワークステーションや企業ネットワーク全体への入口にもなり得るところが危ういと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Cursor で検索を、お試しください。