Cursor AIツールのMCPに致命的欠陥、サプライチェーンリスクを提起

Check Pointのサイバーセキュリティ研究者たちは、人気のAI搭載コーディングツール「Cursor」において、重大なリモートコード実行の脆弱性を発見しました。この「MCPoison」と名付けられた欠陥は、攻撃者がモデルコンテキストプロトコル（MCP）内で以前承認された設定を巧妙に改ざんすることで、開発者環境を侵害することを可能にし、ユーザーへの通知なしに悪意のあるコマンドを静かに実行することを可能にしていました。

この問題に迅速に対応し、Cursorは7月29日にバージョン1.3をリリースし、重要な修正を実装しました。このアップデートにより、MCPサーバーのエントリが変更されるたびに明示的なユーザー承認が義務付けられるようになり、セキュリティが大幅に強化されました。AI搭載コードエディターのユーザーは、潜在的な脅威からシステムを保護するために、最新バージョンに更新することを強く推奨します。

Cursorはこの脆弱性を修正しましたが、Check Pointはこのインシデントを、新たなAIサプライチェーンリスクの明確な例と捉えています。Check Pointの研究チームは最近のブログ投稿で、「この欠陥は、AI支援開発環境の背後にある信頼モデルにおける重大な弱点を露呈しており、大規模言語モデル（LLMs）と自動化をワークフローに統合するチームにとってのリスクを高めています」と述べています。

この脆弱性は、Anthropicが2024年11月に導入したオープンソースプロトコルであるモデルコンテキストプロトコル（MCP）を具体的に標的としています。MCPは、エージェントや大規模言語モデル（LLM）などのAIベースのシステムと外部データソースとの接続を容易にし、それらの相互作用を可能にします。これらのプロセスを効率化するために設計されていますが、同時にセキュリティ研究者がその導入以来積極的に調査している新たな攻撃対象領域も導入しています。

AI統合開発環境（IDE）であるCursorは、LLMを活用してコードの記述とデバッグを支援します。このようなツールは、本質的にある程度の信頼に依存しており、特に共有コード、設定ファイル、AIベースのプラグインを含む共同作業環境ではそれが顕著です。Check Pointの研究者であるAndrey Charikov、Roman Zaikin、Oded Vanunuは、彼らの焦点について説明しました。「私たちは、CursorにおけるMCP実行の信頼および検証モデルが、時間の経過に伴う変更、特に以前承認された設定が後で変更される場合に適切に考慮されているかどうかを評価することに着手しました。」彼らは、共同開発においてそのような変更は一般的であり、検証のギャップがコマンドインジェクション、コード実行、または永続的な侵害につながる可能性があると付け加えました。

研究者たちは実際にそのような検証の欠陥を特定しました。彼らは、攻撃者が最初に無害なMCPサーバー設定を共有リポジトリに送信することで、それを悪用する方法を実証しました。ユーザーによって承認されると、攻撃者は同じエントリを密かに変更して悪意のあるコマンドを含めることができました。Cursorの以前の「一度限りの承認」メカニズムのため、Cursorプロジェクトが開かれるたびに、悪意のあるコマンドは被害者のマシン上で静かに実行されました。Check Pointは、承認された無害なコマンドをリバースシェルペイロードに置き換えることで、永続的なリモートコード実行を成功裏に実証し、それにより被害者のマシンへのアクセスを獲得しました。

この開示は、Check Pointの研究者たちが開発者向けAIプラットフォームで発見した一連の脆弱性の中で最初のものであると報じられています。同社は、見過ごされているリスクを強調し、急速に進化するAIエコシステム内のセキュリティ基準を向上させることを目指して、さらなる調査結果を公開する予定です。