最重要★★★★★Hacker News
Cursor に任意コード実行 0day、6 カ月放置で全公開へ
30秒で把握
- 1Cursor が Windows で git.exe を無警告自動実行する RCE、Mindgard が 6 カ月放置後に完全公開
- 2700 万ユーザー・60 億ドル企業・1 万社利用の環境で修正なし・ベンダー応答途絶が完全公開の理由
- 3本番運用チームは信頼リポジトリのみに限定・疑わしいプロジェクトは隔離 VM で開く・代替ツール評価を開始
要約
セキュリティ研究機関 Mindgard は、AI コーディングツール Cursor に深刻な 0day 脆弱性を発見・報告した。Windows 環境でプロジェクトを開く際、リポジトリルートに置かれた malicious git.exe を Cursor が自動実行し、ユーザーの操作や警告なしに任意コード実行が発生する。2025 年 12 月から報告・追跡を続けたが 6 カ月以上応答がなく、Cursor は 70 版以上をリリースしながら修正を進めず、Mindgard は完全公開による保護を決定した。既存の回避策は、エンタープライズ環境では AppLocker/Windows App Control で実行を制限し、一般ユーザーは信頼できないリポジトリを分離環境で開くこと。
あなたへの影響
この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。
クレカ不要・いつでも解約