CursorのWindows版に悪意のあるgit.exe自動実行の0day脆弱性

原題: Cursor 0day: When Full Disclosure Becomes the Only Protection Left

なぜ重要か

700万人超が利用するAI開発環境の未修正0dayは、ソフトウェアサプライチェーン攻撃の足がかりとなりうる深刻なリスクを示している。

AIコードエディタ「Cursor」のWindows版に、プロジェクトルートに配置された悪意のあるgit.exeを自動実行する0day脆弱性が確認された。セキュリティ企業Mindgardが2025年12月15日に報告したが、7か月・197以上のバージョンアップを経た現在も最新版で未修正のまま。7百万人以上のアクティブユーザーと5万社以上の企業に影響する可能性がある。

セキュリティ企業Mindgardは2026年7月14日、AIコードエディタ「Cursor」のWindows版に深刻な0day脆弱性が存在すると完全開示(Full Disclosure)した。

脆弱性の仕組みは単純で、開発者がWindowsでCursorにリポジトリを読み込む際、IDEがワークスペースのルートディレクトリを含む複数の場所でgitバイナリを探索し、プロジェクトルートに配置された悪意のあるgit.exeをユーザーの操作なしに自動実行してしまう。クリック、プロンプト、警告ダイアログは一切表示されず、任意コードの実行(Arbitrary Code Execution)が成立する。また、この実行は定期的なタイミングで繰り返される。

Mindgardが2025年12月15日に最初に脆弱性を発見・報告して以来、同社は公開されているsecurity.txtに記載のメールアドレスへの初回連絡、フォローアップ送信、パブリックでの呼びかけなど複数チャネルで接触を試みた。しかし7か月以上・197以上の新バージョンリリースを経ても、最新版でも脆弱性は修正されておらず、Cursorからの実質的な回答もなかったとしている。

Cursorはアクティブユーザー数700万人以上、1日あたり100万人以上、有料ユーザー100万人以上、導入企業5万社以上を持ち、企業評価額は600億ドルと報じられている。

Mindgardが示した暫定的な対策として、企業・管理環境ではAppLockerやWindows App Controlポリシーを用いてワークスペースディレクトリからの対象実行ファイルを拒否するパスベースのルール設定を推奨。個人環境では、パッチが提供されるまで、信頼できないリポジトリはVMやWindows Sandboxなど隔離環境でのみ開くよう呼びかけている。なお、ハッシュベースのブロックリストは攻撃者が異なるバイナリを用いることで回避できるため、有効な対策にならないとしている。

出典

mindgard.ai — 元記事を読む →