2026年4月28日、AIペネトレーションテストプラットフォームのNovee Securityは、Cursor IDEに影響する深刻度の高い脆弱性CVE-2026-26268を公式ブログで公表した。同社の脆弱性研究者アサフ・レフコヴィッチ氏が発見したもので、悪意あるリポジトリをクローンして操作した際、CursorのAIエージェントが埋め込まれたGitロジックを発動させ、開発者のマシン上で任意コードが実行される恐れがある。
AIペネトレーションテストプラットフォームのNovee Securityに所属する脆弱性研究者アサフ・レフコヴィッチ氏が発見したもので、悪意あるリポジトリをクローンして操作した際、CursorのAIエージェントが埋め込まれたGitロジックを発動させ、開発者のマシン上で任意コードが実行される恐れがある。攻撃はGitフックとBareリポジトリという標準機能を利用し、プロンプトインジェクションを介して保護不十分な.git設定への書き込みを行わせ、次の操作時にサンドボックス外でのRCEを引き起こす。
NVDは深刻度を10点満点中9.9のCriticalと評価したが、Cursor側はこれに異議を唱え、自社CVSSスコアを8.0のHighとした。影響を受けるのはバージョン2.5より前で、同2.5でパッチ適用済み。実環境での悪用事例は確認されていない。
From: 
CVE-2026-26268: How an AI Coding Agent Can Run Exploits in Cursor IDE
【編集部解説】
このニュースが2026年4月末に公開されたタイミングを、まず押さえておきたいと思います。Cursorを開発するAnysphereは、複数の業界メディアの報道によれば、創業からわずか12カ月で年間経常収益(ARR)1億ドルに到達したとされ、近年最も急成長したコーディングスタートアップの一つに数えられています。2025年10月のCursor 2.0でAIエージェントによる並列実行機能が大幅強化され、現在ではCursor 3系まで進化しています。今回の脆弱性は、その成長軌道のど真ん中で発見されたものです。
技術的な核心は、単純なメモリ破壊のような従来型のバグではなく、AIエージェントが「自分で判断して」Gitコマンドを実行するという、これまでのIDEには無かった振る舞いと、Cursor 2.5未満における.git設定保護の不十分さが組み合わさった点にあります。ここで重要なのが、Gitフックは通常のリポジトリクローンではコピーされないという仕様です。報道・研究者解説によれば、攻撃者は正規のリポジトリの中に「Bareリポジトリ」(作業ディレクトリを持たない管理用リポジトリ)を入れ子で仕込み、その内部にフックを潜ませるという手の込んだ手法を取るとされています。CursorのAIエージェントがプロンプトに応じて自律的にgit checkoutを走らせた瞬間、ユーザーが何もクリックしなくても攻撃コードが起動する経路が成立してしまうのです。
ここで決定的に新しいのは、攻撃の起点が「ユーザーの操作ミス」ではなく、「AIエージェントの自律的な意思決定」にあるという構造です。Novee社は、AIエージェントが管理外のリポジトリ内でGit操作を自律実行し始めた瞬間に、本来別々であるはずの信頼領域が一つにつながってしまうと指摘しています。従来のセキュリティは「人が騙されない限り安全」という前提で設計されてきましたが、AIエージェントはその前提ごと無効化してしまうのです。
開発者のマシンが狙われることの重大性も、改めて確認しておきたいところです。一般論として、開発端末には本番環境にアクセスできる認証トークン、APIキー、未公開ソースコード、社内ツールへの認証情報が日常的に存在します。一台が侵害されれば、サプライチェーン攻撃の起点になりうる――Novee社はこうした観点から、開発者マシンを攻撃対象として軽視すべきではないと警鐘を鳴らしています。
注目すべきは、これがCursor単独の問題ではないという点です。同じNovee Security社は、ほぼ同時期にGoogle Gemini CLIにおいてCVSS 10.0(満点)のRCE脆弱性も公表しました。両者に共通するのは、「AIエージェントが信頼してはいけない外部入力を、設定や指示として読み込んでしまう」という構造的な脆弱性です。これは個別の不具合ではなく、エージェント型開発ツール全体に潜むパターンとして捉えるべきでしょう。
スコアをめぐる議論もこの記事の見どころの一つです。NVDが10点満点中9.9のCriticalを付けたのに対し、Cursor側は8.0のHighだと反論しました。前提として悪意あるリポジトリのクローンが必要であり、攻撃成立には複数の条件が揃う必要がある――というのがCursor側の主張です。一方Noveeは、AIエージェント時代では「リポジトリのクローン」自体がもはや日常動作であり、より高い警戒レベルが妥当だとしています。どちらが「正しい」というよりも、評価軸そのものが時代に追いついていないことを物語る論争だと、私は受け止めています。
ポジティブな側面にも触れておきましょう。Novee社は責任ある開示プロセスを踏んでCursor側に通報し、Cursorは2.5でパッチを適用済みです。公開情報の範囲では、実環境での悪用報告は見当たらないとされています。さらにCursorは2026年4月30日付の公式チェンジログで、Cursor Security ReviewとしてプロンプトインジェクションやAI承認の自動化リスクを検査する社内向けセキュリティエージェントを、Teams / Enterpriseプラン向けにベータ提供開始しています。「AIで作るものをAIで守る」というメタな防御層が、ようやく整い始めた局面です。
長期的な視点で見ると、この事案はAIエージェントのガバナンスを規制側がどう扱うかにも影響しそうです。EUのAI Actや各国のサイバーセキュリティ規制は、当初は「AIが何を生成するか」に焦点を当てていました。今後は、「AIが何を実行するか」――つまり自律行動の範囲、サンドボックスの強度、外部入力の信頼検証――がより重要な論点になっていく可能性があります(これは本誌の見立てです)。開発の高速化という「期待」と、攻撃面の拡大という「不安」。この両方を冷静に見つめ続けることが、私たち利用者にも求められる時代に入ったと言えそうです。
【用語解説】
CVE-2026-26268
今回Cursor IDEに対して発番された脆弱性識別子である。CVE(Common Vulnerabilities and Exposures)は、世界中で報告されたセキュリティ脆弱性を一意に管理するための共通番号で、米国MITRE社が運営する。
RCE(リモートコード実行 / Remote Code Execution)
攻撃者が遠隔から、被害者のマシン上で任意のコードを実行できる状態を指す。セキュリティ脆弱性の中でも最も深刻度が高い分類のひとつだ。
Gitフック(Git Hooks)
Gitにおける標準機能のひとつで、コミットやチェックアウトといった特定のイベントが発生した瞬間に自動的に実行されるスクリプトのこと。本来は開発作業の自動化に用いられる正当な仕組みである。
プリコミットフック(pre-commit hook)
Gitフックの一種で、コミット操作が走る直前に自動実行される。コードの整形や静的解析などに使われるのが一般的だが、悪用されればコード実行の引き金になりうる。
Bareリポジトリ(Bare repository)
作業ディレクトリを持たず、バージョン管理用のメタデータのみを格納したGitリポジトリ。サーバー側で複数人の変更を集約する用途が本来の目的だが、他のリポジトリ内に入れ子で配置できる性質が今回の悪用に利用された。
プロンプトインジェクション(Prompt Injection)
AIエージェントに対し、外部から読み込ませた文書やファイルを介して、開発者が意図しない指示を埋め込み実行させる攻撃手法。今回の事案では、リポジトリ内のファイルがエージェントの指示書として解釈されることで成立した。
サンドボックス脱出(Sandbox Escape)
プログラムの動作を制限するために設けられた隔離環境(サンドボックス)から、本来許されないはずの外部領域へ抜け出す挙動を指す。今回はAIエージェントが.git設定への書き込みを通じて、サンドボックス外でコード実行を成立させた。
NVD(National Vulnerability Database)
米国国立標準技術研究所(NIST)が運営する、脆弱性情報の公的データベース。CVSS(共通脆弱性評価システム)に基づくスコアを各脆弱性に付与している。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を10点満点で評価する国際標準スコア。9.0以上はCritical、7.0〜8.9はHighに分類される。
エージェント型IDE / Agentic IDE
従来の受動的な統合開発環境とは異なり、AIエージェントがユーザーの意図を解釈し、自律的にコマンドを実行・判断するタイプのIDE。Cursorはその代表例で、Agent Modeを通じてマルチファイル編集やGit操作を能動的に行う。
Anysphere
Cursorを開発する企業。マサチューセッツ工科大学(MIT)出身の4名が2022年に共同創業した。創業からわずか12カ月で年間経常収益(ARR)1億ドルを突破し、ソフトウェア史上最速級の成長を記録した。
【参考リンク】
Cursor 公式サイト(外部)
AnysphereによるAIネイティブ統合開発環境。VS Codeをベースに自律的なエージェント機能を搭載している。
Cursor 公式チェンジログ(外部)
Cursorのバージョンごとの新機能やセキュリティアップデート情報が公式に公開されているページ。
Novee Security 公式サイト(外部)
AIペネトレーションテストプラットフォームを提供する企業で、本脆弱性の発見元である。
NVD: CVE-2026-26268 詳細ページ(外部)
米国NVDが公開している本脆弱性の公式ページ。スコアや影響範囲が掲載されている。
GitHub Security Advisory: GHSA-8pcm-8jpx-hv8r(外部)
Cursor公式によるセキュリティアドバイザリ。修正済みバージョンや回避策が記載されている。
Git公式: Customizing Git – Git Hooks(外部)
Git公式ドキュメントによる、Gitフックの正規仕様解説ページである。
【参考記事】
CVE-2026-26268: How an AI Coding Agent Can Run Exploits in Cursor IDE(外部)
Novee Security公式による一次情報。AIエージェントが信頼境界を越える構造を技術的に解説している。
Cursor AI IDE vulnerability allows code execution via hidden Git hooks(外部)
HackReadによる解説記事。CVSS 8.1という独自スコア、2026年2月のパッチ時系列を補足している。
Google Fixes CVSS 10 Gemini CLI CI RCE and Cursor Flaws Enable Code Execution(外部)
The Hacker NewsがCursorとGemini CLIの脆弱性を関連事案として並列で報じた記事。
Cursor AI Coding Agent Vulnerability Allow Attackers to Execute Code on Developer’s Machine(外部)
Cyber Security Newsによる詳細記事。Bareリポジトリと攻撃チェーンの仕組みを丁寧に解説。
Google Gemini CLI CVSS 10.0 RCE Vulnerability: Critical Security Advisory(外部)
Novee Securityが公表したGemini CLIのCVSS 10.0脆弱性報告。エージェント型ツール共通の構造問題を示す。
Introducing Cursor 2.0 and Composer(外部)
Cursor公式によるバージョン2.0発表記事。マルチエージェント並列実行の新機能背景を確認できる。
【関連記事】
Antigravity(Google)に重大脆弱性—最高セキュリティ設定を突破するプロンプトインジェクション攻撃とは
GoogleのエージェントIDEでもCursor類似のプロンプトインジェクション脆弱性が発見された関連事案。
AIコードエディターCursorでYOLOモード脆弱性発覚、自動実行制限を簡単に回避可能
Cursorの自動実行機能における別の脆弱性事例。今回事案とあわせ全体傾向を読み解く参考に。
Claude Codeに重大な脆弱性3件、設定ファイル経由でマシン乗っ取りの危険性
AIコーディングエージェントの設定ファイル経由攻撃という構造的類似事案。
VS Code拡張機能4つに深刻な脆弱性、CursorやWindsurfにも影響―累計1億2500万インストール
Cursorを含むAI搭載IDE全般に波及した別系統の脆弱性報告。
Cursor 3正式リリース|複数AIエージェントを一元管理する統合ワークスペース、ソフトウェア開発の新時代へ
Cursor製品の最新進化を整理。エージェント型IDEの普及背景の理解に役立つ。
【編集部後記】
CursorをはじめAIコーディングエージェントを使い始めた方も多いのではないでしょうか。日々のgit cloneが、これまでとは少し違う重みを持ち始めた――そんな時代の入り口に、私たちは立っているのかもしれません。
皆さんは普段、未知のリポジトリをクローンする前に、どんな視点で「信頼できるかどうか」を判断していますか。便利さと向き合いつつ、自分なりのチェックポイントを言語化してみると、AIとの付き合い方がもう一段クリアになる気がします。一緒に考えていけたら嬉しいです。
