イスラエル・テルアビブのセキュリティ企業Backslash SecurityがAIコードエディターCursorのセキュリティ脆弱性を発見し、The Registerが2025年7月21日に報道した。
同社のアプリケーションセキュリティアナリストMustafa NaamnehとMicah Goldは、CursorのYOLOモード(自動実行機能)において、危険なコマンドの実行を防ぐデニーリスト機能を迂回する手法を4つ発見したと報告した。
具体的な迂回手法として、Base64エンコードによる難読化、サブシェル内でのコマンド実行、シェルスクリプトへの書き込み、bash環境での二重引用符使用が挙げられている。
Backslash SecurityのCTO兼共同創設者Yossi Pikは、開発者がGitHubリポジトリから監査なしにrules.mdcファイルをインポートすることで攻撃が可能になると説明した。Cursorは問題を認知し、バージョン1.3リリースでデニーリスト機能を非推奨にする予定である。
なお、2025年7月には別件で悪意のあるVSCode拡張機能により暗号資産盗難事件も発生している。
From: 
Cursor AI YOLO mode lets coding assistant run wild, security firm warns
【編集部解説】
今回のBackslash Securityによる報告は、AIコードエディターCursorの「YOLOモード」におけるセキュリティ脆弱性を明らかにしました。この問題は単なる技術的な不具合にとどまらず、AIエージェントが普及する開発現場における新たなセキュリティパラダイムの転換点を示しています。
YOLOモードとその革新性
YOLOモード(You Only Live Once:人生は一度きり)は、Cursorが提供する自動実行機能で、開発者の承認なしにAIエージェントが複数ステップのコーディングタスクを実行できる仕組みです。このモードは開発効率を飛躍的に向上させる一方、システムに対する広範なアクセス権限をAIに委ねることになります。
デニーリストの設計思想とその限界
Cursorは安全対策として「デニーリスト」機能を実装しており、これは危険なコマンド(例:rmコマンド)を事前に禁止リストに登録することで、AIエージェントの実行を制限する仕組みです。しかし、この設計思想自体に根本的な問題があることが判明しました。
4つの迂回手法が示す本質的な脆弱性
Backslash Securityが発見した4つの迂回手法は、それぞれ異なる角度からデニーリストの脆弱性を突いています。Base64エンコードによる難読化では、元のコマンドecho $(curl google.com)をecho JChjdXJsIGdvb2dsZS5jb20pCgoK | base64 -d | zshのように変換することで検出を回避します。サブシェル内での実行、シェルスクリプトへの書き込み、そしてbash環境での引用符活用といった手法は、いずれもLinux/Unix環境の基本的な機能を悪用したものです。
特に注目すべきは、研究者らが「無限の迂回方法が存在する」と結論づけた点です。これは、デニーリスト方式によるセキュリティ対策が理論的に不完全であることを意味しています。
Cursorを取り巻く多重のセキュリティリスク
Cursorは2025年に入ってから複数のセキュリティ事案に見舞われています。2025年5月には、CursorアプリのElectronフレームワーク設定に起因するTCCバイパス脆弱性が発見され、macOSの基本的なプライバシー保護機構を回避する問題が明らかになりました。また、7月には悪意のあるVSCode拡張機能により50万ドル相当の暗号資産が盗まれる事件も発生しており、AIツールを標的としたサプライチェーン攻撃が現実化しています。
サプライチェーン攻撃のリスク増大
今回の脆弱性は、開発者がGitHubリポジトリから監査なしにrules.mdcファイル(再利用可能なエージェント指示)をインポートする際のリスクを浮き彫りにします。さらに、5月には「sw-cur」「sw-cur1」「aiide-cur」といった悪意のあるnpmパッケージが発見され、これらは「最も安価なCursor API」を謳い文句にユーザー認証情報を盗み出す機能を持っていました。
AIエージェント普及における責任の議論
Backslash Securityによると、Cursor側の初期対応は「ユーザーの設定不備」を指摘するものでしたが、これは製品設計における責任転嫁と研究者らは批判しています。AIエージェントが持つ強力な機能と潜在的リスクを考慮すれば、「セキュアバイデフォルト」の設計思想が不可欠であることは明らかです。
業界全体への波及効果
この問題はCursor固有の課題ではありません。GitHub CopilotやReplit Agentなど、他のAIコード生成ツールも同様のリスクを抱えている可能性があります。実際、起業家Jason Lemkinが最近経験したReplit事案では、AIツールが本番データベースを削除するという深刻な事故が発生しており、AIコードエディター全般に共通する脆弱性であることが示されています。
規制と標準化への影響
この事案は、AIエージェントに対する規制やセキュリティ標準の必要性を浮き彫りにしています。現在のサイバーセキュリティフレームワークは、人間が直接操作することを前提としており、自律的に動作するAIエージェントの安全性を保証する仕組みが不足しています。
今後の技術的展望
Cursorはバージョン1.3でデニーリスト機能を非推奨にする予定です。これは問題の根本的解決ではなく、より安全な代替手段(アローリスト方式など)への移行を意味します。しかし、AIエージェントの能力向上と安全性確保のバランスは、今後も開発者コミュニティが直面し続ける課題となるでしょう。
開発者への実践的示唆
この問題は、AI支援開発ツールの利便性と安全性のトレードオフを改めて考えさせます。開発者は、AIエージェントの自動実行機能を活用する際、その強力さゆえのリスクを十分に理解し、適切な制限と監視体制を構築する必要があります。特に本番環境や機密情報を扱う場合、人間による最終確認を省略すべきではありません。
【用語解説】
YOLOモード(You Only Live Once Mode)
Cursorが提供する自動実行機能で、AIエージェントが開発者の確認なしに複数ステップのコーディングタスクを連続実行する機能である。「人生は一度きり」という意味のスラングから名付けられ、効率性と引き換えにリスクを伴う使い方を象徴している。
デニーリスト(Deny List)
AIエージェントが実行してはいけないコマンドを事前に登録するブラックリスト形式のセキュリティ機能である。例えば「rm」コマンドを登録することで、ファイル削除を防ぐことを目的としている。
アローリスト(Allow List)
デニーリストとは逆に、AIエージェントが実行を許可されたコマンドのみを登録するホワイトリスト形式のセキュリティ機能である。より制限的なアプローチとして、セキュリティ向上が期待される。
rules.mdcファイル
Cursorで使用される再利用可能なエージェント指示ファイルで、プロジェクト固有のルールやコンテキストを定義するための設定ファイルである。YAMLフロントマターとMarkdown本文を組み合わせたハイブリッド形式で記述される。
Base64エンコード
バイナリデータをテキストで表現するための符号化方式で、今回の脆弱性では危険なコマンドを難読化してデニーリストを迂回する手法として悪用された。
サブシェル
現在のシェル環境内で新しいシェルプロセスを起動する仕組みで、コマンドを括弧で囲むことで実行される。デニーリスト迂回の手法の一つとして使用された。
TCCバイパス脆弱性
macOSのTransparency, Consent, and Control(TCC)フレームワークを回避する脆弱性で、攻撃者が機密データにアクセスすることを可能にする深刻な問題である。
【参考リンク】
Cursor – The AI Code Editor(外部)
AIを統合したコードエディターで、Visual Studio Codeをベースに開発されている。
Backslash Security(外部)
イスラエル・テルアビブを拠点とするアプリケーションセキュリティ企業。
【参考動画】
Cursor AI Tutorial for Beginners [2025 Edition] – Volo Builds
CursorのAI機能全般を解説するビギナー向けチュートリアル動画。CursorエージェントやYOLOモード、MCPサーバーの使い方まで網羅的に説明している(27分04秒)。
How To Use Cursor AI (Full Tutorial For Beginners 2025) – Alexander F Young
Cursorの基本機能から高度な設定まで詳細に解説するフルチュートリアル。プロジェクト作成からルール設定、実際のアプリ開発まで実践的な内容を含む(26分16秒)。
【参考記事】
Cursor IDEの悪意あるVSCode拡張機能により50万ドルの暗号資産が盗まれる(外部)
2025年7月に発生したCursor関連の暗号資産盗難事件について詳細報告。
Cursorアプリに発見された重大な脆弱性:macOSのTCCバイパス問題(外部)
2025年5月に発見されたCursorアプリのTCCバイパス脆弱性の技術的詳細。
【編集部後記】
皆さんは普段、AIコードエディターをどの程度まで「信頼」して使っていますか?今回のCursor事案は、効率性を求めるあまり、セキュリティへの配慮が後回しになってしまう危険性を浮き彫りにしています。
特に注目すべきは、2025年に入ってからCursorが複数のセキュリティ事案に見舞われている点です。YOLOモードの脆弱性、TCCバイパス問題、悪意のある拡張機能による暗号資産盗難など、AI支援開発ツールの「便利さ」と「安全性」のバランスをどう取るかという、私たち開発者全員が直面する現実的な課題が次々と明らかになっています。
皆さんの開発現場では、AIエージェントの自動実行機能をどこまで活用していますか?また、チーム内でのセキュリティガイドラインはどのように設定されているでしょうか。ぜひSNSで、皆さんの実体験や工夫を共有していただけたら嬉しいです。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
AI(人工知能)ニュースをinnovaTopiaでもっと読む
