Cursor『開くだけで乗っ取り』の脆弱性 CVE-2026-63093、Windows版は自衛を
世界で700万人以上が使うAIコード編集ソフト「Cursor」のWindows版に、他人が作ったプログラム一式(リポジトリ)を開くだけでパソコンを乗っ取られかねない欠陥が見つかりました。番号はCVE-2026-63093。開発元は修正版の番号を公表しておらず、当面は信頼できないコードを不用意に開かないなどの自衛が要ります。
目次
世界で700万人以上が使うAIコード編集ソフト「Cursor」のWindows版に、他人が作ったプログラム一式(リポジトリ)を開くだけでパソコンを乗っ取られかねない欠陥が見つかりました。番号はCVE-2026-63093。開発元は修正版の番号を公表しておらず、当面は信頼できないコードを不用意に開かないなどの自衛が要ります。
プログラミングを助けてくれる人気ソフト「Cursor(カーソル)」のWindows版に、他人が用意したプログラム一式(リポジトリ)を開いただけで、そのパソコンを乗っ取られかねない欠陥が見つかりました。CVE-2026-63093という番号が付けられ、危険度は10段階のCVSS(数字が大きいほど危険)で8.8とされています。クリックも確認画面もなく、開いた瞬間に攻撃者の仕込んだプログラムが動いてしまう点が、この欠陥の怖いところです。
Cursorは、文章で指示するだけでAIがコードを書いたり直したりしてくれる「AIコード編集ソフト」で、世界で700万人以上が使っているとされます。日本のエンジニアの間でも定番になりつつあり、他人が公開したコードを手元にコピー(クローン)して開く場面は日常的です。今回はまさにその「開く」動作が引き金になります。
やっかいなのは、この記事を書いている時点で公式の修正版バージョン番号も、注意を呼びかける正式なお知らせ(アドバイザリ)も公表されていないことです。開発元は「利用者側で守るべき範囲の問題だ」という立場を示しており、「更新すれば終わり」という単純な話にはなっていません。何が起きているのか、どのくらい自分に関係するのか、いま何をすればよいかを順に説明します。
この記事の要点(3行)
- 人気のAIコード編集ソフト「Cursor」のWindows版に、他人のコードを開いただけでパソコンを乗っ取られかねない欠陥(CVE-2026-63093、危険度8.8)。
- 対象はWindowsでCursorを使い、信頼できない相手のコードを開く人。今のところ実際の攻撃報告や、米政府が公開する攻撃中の脆弱性リストへの登録はなし。
- 公式の修正版番号は未公表。当面は信頼できないコードを不用意に開かない・隔離環境で開くなどの自衛が現実的な対処になります。
そもそも「Cursor」とは何か
Cursorは、米Anysphere社が開発しているプログラミング用のソフトです。見た目や操作感はマイクロソフトの定番エディタ「Visual Studio Code」に近いのですが、AIを深く組み込んでいるのが特徴で、「この機能を追加して」「このバグを直して」と日本語や英語で頼むと、AIが実際にコードを書き換えてくれます。この手軽さから利用者が急増し、いまではAIでコードを書く開発者にとって定番の一つになりました。
開発者が普段よくやる作業に、他人が公開したコードを自分のパソコンに丸ごとコピーして中身を見る、というものがあります。このコードの一式を「リポジトリ」、コピーする操作を「クローン」と呼びます。GitHubのような場所には無数のリポジトリが公開されていて、気になったものをクローンしてCursorで開く、というのはごく当たり前の流れです。今回の欠陥は、この「クローンして開く」だけで発動します。
問題を報告したのは、AIのセキュリティを専門にする英企業Mindgard(マインドガード)です。調査を担当したAaron Portnoy氏は、脆弱性の世界的な発表会「Pwn2Own」の立ち上げや、脆弱性を買い取って開発元へ橋渡しする「Zero Day Initiative」の運営で知られるベテラン研究者です。その人物が「単純なのに影響が大きく、実行も簡単。標的が決まれば攻撃者は確実に使ってくるだろう」と警告しているのが、今回の欠陥です。
何が起きるのか ― 「git.exe」の置き換え
Cursorは、リポジトリを開くとき裏で「git(ギット)」という道具を呼び出します。gitはコードの変更履歴を管理する定番の道具で、多くの開発ソフトが内部で使っています。問題は、Cursorがこのgitの本体(Windowsではgit.exeというファイル)を探す場所に、いま開いているリポジトリのフォルダそのものが含まれていたことです。
つまり、攻撃者があらかじめリポジトリの一番上の階層に、gitになりすました悪意あるgit.exeを置いておくと、被害者がそのリポジトリをCursorで開いた瞬間、Cursorは本物のgitではなくこの偽物を「正規のgit」と勘違いして実行してしまいます。クリックも、確認画面も、警告も一切ありません。しかもリポジトリを開いている間、Cursorは何度もこの偽物を呼び出し続けます。
Mindgardは危険性を安全に示すため、実演では悪意あるプログラムの代わりに、Windows付属の「電卓」をgit.exeという名前に変えてリポジトリに置きました。Cursorでそのリポジトリを開くと、頼んでもいないのに電卓が勝手に立ち上がり、開いたままにしていると次々と電卓の窓が増えていったといいます。電卓が本物のウイルスだったら、と考えれば、この動作の危うさが分かります。
誰が、何のために狙うのか
この欠陥を狙うのは、魅力的に見えるコードをネット上に公開し、開発者にクローンさせようとする攻撃者です。たとえば「便利なツールを作った」「このサンプルを試してほしい」と称してGitHubなどにリポジトリを置き、その一番上の階層に偽のgit.exeを忍ばせておく、という手口が考えられます。求人テストや技術課題を装って個別に送りつける、という形もあり得ます。
狙われた開発者がそのリポジトリをCursorで開くと、本人が気づかないうちに攻撃者のプログラムがパソコン上で動き出します。実行されるのはその開発者の権限そのままなので、攻撃者は事実上、被害者のパソコンでできることは何でもできる足がかりを得ます。
被害の中身は小さくありません。開発者のパソコンには、ほかのサーバーへ入るための鍵(SSHキー)、クラウドサービスに接続するための合言葉(トークン)、勤務先のソースコード、自動でプログラムを組み立てて公開する仕組み(CI)へのアクセス権などが詰まっています。そこを起点に、勤務先のシステムや、その開発者が関わる製品の配布物にまで被害が広がる恐れがあります。こうした「開発者を踏み台に、その先の組織や利用者へ被害を広げる」構図は、公開ソフトの部品を悪用する攻撃と共通しており、公開ソフトの部品に潜むリスクをまとめた記事でも扱っています。
技術的に見ると ― なぜ偽物が実行されるのか
この欠陥は、専門的には「信頼できない探索パス(Untrusted Search Path、CWE-426)」に分類されます。プログラムが別のプログラムを呼び出すとき、その本体をどのフォルダから探すかという「探索順序」に、本来入れてはいけない場所(=中身を信用できない作業フォルダ)が混ざっていた、という問題です。
Windowsでは、コマンド名だけを指定してプログラムを起動すると、決められた複数のフォルダを順番に探して最初に見つかった実行ファイルを動かします。Cursorはgitを呼ぶ際、この探索先に「いま開いているリポジトリの直下」を含めてしまっていました。結果として、リポジトリ内に置かれたgit.exeが、システムに正しくインストールされた本物のgitより先に見つかり、実行されます。攻撃に必要なのは、ファイル名を正確にgit.exeにしてリポジトリの最上位に置くことだけで、複雑な手順や利用者の追加操作はいりません。
同じ「悪意あるコードを開かせて実行させる」構図は、他の開発ソフトでも相次いで報告されています。たとえば別のエディタ「Zed」でも、悪意あるリポジトリを開くと任意のプログラムが動く欠陥がまとめて公表されました(Zedの脆弱性まとめ)。エディタが「開くだけ」で外部のプログラムに手を伸ばす作りは、便利さと引き換えに攻撃の入り口になりやすいのが実情です。
報告から公表までの経緯
今回の欠陥は、報告から公表まで7カ月かかっています。Mindgardは「開発元が動かないため、利用者が身を守るには全面公開しかなかった」と説明しています。主な経緯は次の通りです。
← スワイプで移動
「もう直った」のか ― 見解が割れている
この件で読者が最も知りたいのは「結局、直っているのか」でしょう。ところが、その点で開発元と研究者の見解が食い違っています。断定を避け、確認できている事実と、まだはっきりしない点を分けて整理します。
✓ 確認済みの事実
- ✓Mindgardが問題を再現し、電卓を偽の
git.exeに見立てて「開くだけで起動する」ことを実演した(Mindgardの技術解説)。 - ✓Cursorは公式フォーラムで、この報告を報奨金プログラムの「対象外」と判断したと表明。作業フォルダの入力は『共有責任』の範囲で、対策としてWorkspace Trust機能を案内している(Cursor公式フォーラム)。
- ✓米NVDにCVE-2026-63093として登録され、危険度はCVSSで8.8とされた(NVDの登録内容)。
? まだはっきりしない点
- ?Cursorはメディアに「7月13日に対処した」と述べたが ― 修正版のバージョン番号も、正式なアドバイザリも公表していない。どのバージョンで直るのかを利用者が確認できない状態が続いている。
- ?研究者が動作を確認できたのはバージョン3.2.16まで(2026年4月30日時点)。それ以降に配布された版で確実に解消されたかは、公表情報からは断定できない。
- ?「対象外」とする開発元と、「単純で影響が大きい欠陥」とする研究者とで、そもそも直すべき問題かの評価が分かれている。
整理すると、Cursorは「Windows限定で、しかもgit.exeという名前の悪意ある実行ファイルが最上位に置かれたリポジトリを開いた場合に限る、条件の狭い問題だ」として、危険度を限定的に見ています。一方のMindgardは「その条件はごく簡単に満たせるうえ、開くだけで警告なく実行される以上、実害は大きい」と反論しています。どちらの立場を取るにせよ、公式の修正版番号が示されていない以上、利用者側では「更新すれば安心」と考えず、次の自衛策を取っておくのが安全です。
自分は影響を受けるのか(早見表)
この欠陥は、使っているOSと「どんなコードを開くか」で関係の度合いが大きく変わります。下の表で、自分がどこに当てはまるかを確認してください。
| 条件 | 影響 | やるべきこと |
|---|---|---|
| Windowsで Cursorを使用 | 対象 (信頼できないコードを 開くと危険) | 下記の自衛策を実施 |
| Mac/Linuxで Cursorを使用 | 今回の手口の 直接対象外 | 続報を注視 (原理的な注意は必要) |
| 自作・社内のコードしか 開かない | 実害のリスクは低い | 外部コードを開く時だけ 注意 |
| Cursorを 使っていない | 無関係 | 対応不要 |
補足すると、対象はあくまで「Windows版のCursorで、信頼できない相手のコードを開く人」です。自分や勤務先で書いたコードだけを扱っているなら、いきなり被害に遭う可能性は高くありません。ただ、GitHubで見つけたツールを気軽に試す習慣がある人は、まさに狙われる立場になります。
いま何をすればいいのか
公式の修正版番号が示されていない今、現実的なのは「危ないコードを不用意に開かない」ことに尽きます。信頼できない相手のリポジトリ、身に覚えのない求人テストや技術課題、素性の分からないツールは、いきなりCursorで開かないでください。どうしても中身を確認したいときは、開く前にリポジトリの一番上の階層を見て、git.exeやnode.exe、npx.exeといった、本来プロジェクトの直下にあるはずのない実行ファイルが紛れ込んでいないかを確かめるのが有効です。
より確実なのは、素性の分からないコードを「使い捨ての隔離環境」で開くことです。Windowsに標準で用意されているWindows サンドボックスや、仮想マシン(本体とは切り離した仮のWindows)の中で開けば、仮に悪意あるプログラムが動いても被害を閉じ込められます。会社などでまとめて管理している場合は、AppLockerなどの仕組みで、作業フォルダからgit.exeが実行されるのを禁止する設定も検討してください。
Cursor自身も、対策としてWorkspace Trust(ワークスペース信頼)という機能を案内しています。これは、開いたフォルダを「信頼する/しない」で切り替え、信頼していないフォルダでは自動処理を控える仕組みです。ただしMindgardは、この機能が今回の手口を確実に防げるかは検証しきれていないとしており、過信は禁物です。設定を有効にしたうえで、上記の「不用意に開かない」を併せて守るのが安全です。
なお、この欠陥について現時点では、実際に攻撃へ使われたという報告や、米政府機関CISAが公開する「実際に攻撃されている脆弱性リスト(KEV)」への登録はありません。公開されている実演も、研究者が安全のために電卓を使った無害なものだけです。とはいえ、手口が単純で誰でも真似できるだけに、今後悪用される前に手を打っておくに越したことはありません。実際の攻撃が始まっていないかは、攻撃中の脆弱性を追う一覧(日本語版)で確認できます。
よくある質問(FAQ)
Q. Cursorを使っているだけで危ないのですか?
使っているだけで即危険、というわけではありません。危ないのは、Windows版のCursorで「信頼できない相手のコード(リポジトリ)」を開いたときです。自分や勤務先のコードだけを扱っているなら、いきなり被害に遭う可能性は高くありません。素性の分からないコードを開く習慣がある人ほど注意が必要です。
Q. どのバージョンに更新すれば直りますか?
この記事の時点で、開発元は修正版のバージョン番号を公表していません。「7月13日に対処した」とメディアに述べていますが、正式なお知らせ(アドバイザリ)も、どの版で直るのかの案内もありません。研究者が動作を確認できたのはバージョン3.2.16までで、それ以降で確実に解消したかは断定できない状態です。「更新すれば安心」とは考えず、下記の自衛策を取ってください。
Q. MacやLinuxのCursorは大丈夫ですか?
今回報告された手口は、実行ファイル名がgit.exeである点などからWindows版に固有のものです。MacやLinuxが今回の手口の直接の対象にはなっていません。ただし「開くだけで外部のプログラムに手を伸ばす」という設計上の注意は共通するため、続報は見ておくとよいでしょう。
Q. すでに攻撃に使われていますか?
現時点で、実際に攻撃へ使われたという報告や、米政府CISAの「実際に攻撃されている脆弱性リスト(KEV)」への登録はありません。公開されている実演も、研究者が安全のために電卓を使った無害なものだけです。ただし手口が単純なため、悪用される前の自衛が推奨されます。
まとめ
世界で700万人以上が使うAIコード編集ソフト「Cursor」のWindows版に、他人のコードを開いただけでパソコンを乗っ取られかねない欠陥(CVE-2026-63093、危険度8.8)が見つかりました。仕組みは、Cursorが裏で呼び出す「git」を、リポジトリの中に置かれた偽物にすり替えられる、というものです。クリックも警告もなく実行され、盗まれるのは開発者の鍵やソースコードなど、被害が周囲へ広がりやすい情報です。
やっかいなのは、公式の修正版番号もアドバイザリも公表されておらず、開発元が「利用者側で守るべき範囲」としている点です。だからこそ、当面は「信頼できないコードを不用意に開かない」「隔離環境で開く」「Workspace Trustを有効にする」といった自衛が現実的な守りになります。修正版の正式な案内や、実際の攻撃の有無については、続報を追って本記事に追記します。
参照元
- ▸ NVD - CVE-2026-63093(Cursor for Windows・untrusted search path)
- ▸ Mindgard - Cursor 0day: When Full Disclosure Becomes the Only Protection Left(発見元の技術解説)
- ▸ The Hacker News - Cursor Flaw Lets Malicious Cloned Repositories Trigger Windows Code Execution
- ▸ Dark Reading - Cursor IDE Auto-Executes Malicious Code in Poisoned Repos
- ▸ Cursor Community Forum - Addressing the recent Mindgard report(開発元の公式見解)
- ▸ Hacker News - コミュニティの議論(賛否)
- ▸ Cursor 公式サイト

堀川 慎
Backend Engineer / AWS / Django / Go