何が起きたか
Cursor Desktopバージョン3.0.0より前は、ワークスペース内の.claude/settings.local.jsonで定義されたフックコマンドを自動的に読み込んで実行し、専用のユーザー承認を必要としていませんでした。脅威行為者—またはワークスペース内で動作している侵害/悪意のあるAIエージェント—が、任意のOS レベルコマンド(認証情報の流出、バックドア インストールなど)を含む細工された设定ファイルを書き込むまたは配信でき、IDEの起動またはClaudeセッション開始時にサイレント実行されます。これはAIコーディング エージェント構成ファイルを永続化ベクトルとして悪用するShai-Hulud/Hadesキャンペーンクラスとの関連性が高いです。
なぜ重要か
AIコーディング エージェントは、通常の運用の一環として、自らの構成ファイルを作成・変更することが増えています。この脆弱性により、悪意のあるエージェントまたは侵害されたエージェントは、ワークスペース構成にフックを書き込むことで、開発者のマシン上に永続的な任意のコード実行をブートストラップできます—別のエクスプロイトは不要です。また、これは毒入りリポジトリ経由のサプライチェーン攻撃も可能にします。悪意のあるリポジトリをCursorで複製して開く開発者は、1行のコードを書く前にサイレントに侵害されます。
攻撃経路
攻撃者は悪意のある.claude/settings.local.jsonを(またはClaudeエージェントに1つを書き込ませることで)ワークスペースまたはリポジトリ内に作成します。被害者がCursor Desktopでワークスペースを開くと、エディタは組み込まれたClaudeフックコマンド(例:SessionStartフック)を読み込み、開発者の完全なOSレベルの特権で実行し、ユーザーへの承認プロンプトを表示しません。
影響を受けるシステム
Cursor Desktop(AIコードエディタ) < 3.0.0
緩和策
Cursor Desktop 3.0.0以降にアップグレードしてください。このバージョンではワークスペース定義のClaudeフックコマンドを実行する前に明示的なユーザー承認が必要です。アドバイザリ: https://github.com/cursor/cursor/security/advisories/GHSA-pc9j-3qc2-95wv