Cursor AI コーディング・エージェントの脆弱性 CVE-2026-26268 が FIX:リポジトリ・クローンによる任意のコード実行

Cursor AI Coding Agent Vulnerability Allow Attackers to Execute Code on Developer’s Machine

2026/04/29 CyberSecurityNews — 広く利用される AI コーディング環境 Cursor で発見された深刻な脆弱性により、開発者たちがリモート・コード実行 (RCE) の直接的なリスクにさらされている。この脆弱性 CVE-2026-26268 を悪用する攻撃者は、開発者に悪意のリポジトリをクローンさせるだけで、ローカル環境上での任意のコード実行を可能にする。

最も懸念される問題は、Cursor の AI エージェントがリポジトリにアクセスした瞬間にエクスプロイトは自動実行される点にある。

開発環境内で Cursor が自律的に動作する AI エージェントを用い、コード作成/レビュー/管理を高速化する設計となっているため、被害者側による操作を挟む余地がなくなっている。この自律性は、日常開発において強力である一方で、従来のセキュリティ・テストが想定していない新たなリスクを引き込むものである。

通常、セキュリティ・チームは API/認証フロー/ユーザー入力を監査するが、開発環境自体が攻撃対象として扱われることは少ない。脆弱性 CVE-2026-26268 が示すのは、この前提を見直す必要性である。

Novee の研究チームが分析したのは、Cursor の AI エージェントと、信頼できない外部からの入力の相互作用である。この脆弱性を特定した Assaf Levkovich が率いるチームは、Cursor のコア・コードの欠陥ではないと結論付けた。むしろ、この脆弱性は、2 つの正規 Git 機能の組み合わせに起因し、特定の条件下で危険な実行経路を生成するものである。

Cursor と Novee は密接に連携し、責任ある脆弱性公開のプロセスに基づいた結果として、この脆弱性を 2026年2月に公開したが、その影響は極めて深刻である。開発者の端末に存在する、ソース・コード/アクセストークン/API 資格情報/内部ツールは、攻撃者にとって極めて価値が高い標的となる。

このレベルの任意のコード実行は、開発者による通常業務でのリポジトリのクローンだけで侵入経路を提供するリスクがあり、組織全体への侵害拡大につながる可能性がある。不審な挙動は一切観測されないため、このエクスプロイトにより、大規模チーム全体へと公開リポジトリの悪意のクローンが拡散するリスクが生じている。

さらに、AI 支援ワークフローにより、この操作が自動化され、攻撃対象領域を拡大している。AI コーディング・エージェントの自律性が増すにつれ、通常操作と攻撃トリガーの境界が曖昧になっている。

Git Hooks と Bare Repository によるエクスプロイト成立

脆弱性 CVE-2026-26268 を理解するには、2 つの標準 Git 機能の把握が必要となる。開発ワークフロー自動化で広く利用される Git Hooks とは、pre-commit/post-checkout などの、特定の Git イベントに応じて自動実行されるスクリプトを指すものだ。その一方で、Bare リポジトリは作業ディレクトリを持たず、バージョン管理データのみを含み、他リポジトリ内部への埋め込みが可能なものである。

Attack Chain (Source - Novee)

Attack Chain (Source – Novee)

この攻撃は、正規に見える公開リポジトリ内部へ、Bare リポジトリが埋め込まれることで開始される。この埋め込みリポジトリには、悪意の pre-commit hook が含まれているため、Cursor の AI エージェントが通常処理として git checkout を実行すると、この hook が自動実行される。その際に警告は表示されず、ユーザー確認も行われない。

一連の悪意のコードは、エージェントの推論チェーン外で実行されるため、開発者は全く認識できない。さらに問題として挙げられるのは、Cursor エージェントが Cursor Rules に従って動作している点だ。ユーザーがタスクを指示し、エージェントが応答する過程の裏で、攻撃者がコードを実行するため、リポジトリ・クローンから有害コード実行までの経路は、単純で目立たないプロセスとなっている。

対応策

セキュリティ・チームにとって必要なことは、開発環境を本番環境と同等の重要資産として扱い、定期的なセキュリティ・レビューに取り込むことだ。Bare ディレクトリを含むリポジトリや、不明な Cursor Rules ファイルについては、AI エージェントが操作する前に精査する必要がある。

ユーザー組織に対して強く推奨されるのは、CVE-2026-26268 に対応した最新パッチ版へ Cursor を更新することだ。さらに、チームが利用する、公開リポジトリを監査すべきである。

訳者後書:脆弱性 CVE-2026-26268 の原因は、Cursor のプログラム自体のミスではなく、Git が本来持っている 2 つの便利な仕組みの連鎖にあります。具体的には、特定のイベントでスクリプトを動かす Git Hooks と、作業ディレクトリを持たない Bare リポジトリの特性が悪用されました。AI エージェントが効率化のために自動的に動く際に、その自律性が裏目に出て悪意のプログラムが実行されてしまいます。ご利用のチームは、ご注意ください。よろしければ、Cursor で検索も、ご参照ください。