ワカリタイムズ

🌍 海外ニュースを「わかりやすく」

AIコーディングツールに深刻度「最高」の脆弱性、Gemini CLIとCursorに何が起きたのか

セキュリティ AI Gemini CLI Cursor サプライチェーン攻撃

AIにコードを書かせる時代が当たり前になりつつあります。しかし、その「頼れる相棒」自体にセキュリティの穴が見つかったらどうでしょうか。「GoogleがGemini CLIのCVSS 10脆弱性を修正、Cursorにもコード実行の欠陥」によると、GoogleのAIコーディングツールGemini CLIに深刻度スコアで最高値の10.0を記録した脆弱性が見つかり、人気エディタCursorにも複数の重大な欠陥が報告されました。AIツールが開発現場に浸透するなか、何が問題で、開発者はどう備えるべきなのかを解説します。

Gemini CLIに見つかった「最悪スコア」の脆弱性

脆弱性の深刻度を示す国際基準CVSSで、最高の10.0という評価を受けたのがGemini CLIの欠陥です。対象はnpmパッケージ「@google/gemini-cli」と、GitHub Actionsワークフロー「google-github-actions/run-gemini-cli」でした。

問題の核心は、CI/CD環境でのワークスペース自動信頼にあります。Gemini CLIをCI/CDパイプライン(コードの自動テスト・デプロイ環境)で使うとき、ヘッドレスモードではワークスペース内のフォルダを自動的に「信頼済み」として扱っていました。つまり、攻撃者が悪意ある設定ファイルをリポジトリに紛れ込ませれば、Gemini CLIの設定として読み込まれ、サンドボックスが起動する前にホストシステム上で任意のコマンドが実行されてしまうのです。

Googleはすでにこの問題を修正し、ワークスペースを信頼する前に明示的な許可を求める仕組みに変更しました。影響を受けるバージョンは以下の通りです。

  • @google/gemini-cli 0.39.1未満
  • @google/gemini-cli 0.40.0-preview.3未満
  • google-github-actions/run-gemini-cli 0.1.22未満

Cursorにも2つの深刻な欠陥

AIコーディングエディタとして急速に普及しているCursorにも、2つの高深刻度の脆弱性が報告されました。

1つ目はGitフックを悪用したサンドボックス脱出(CVE-2026-26268、CVSS 8.1)です。攻撃者が悪意あるGitフック(Gitの操作時に自動実行されるスクリプト)を仕込んだリポジトリを用意し、開発者がそれをクローンしたうえで、AIエージェントがコミット操作を行うと、その瞬間にコードが自動実行されます。ユーザー自身が明示的にコードを実行しなくても、リポジトリを開いた環境でAIエージェントがコミットすれば被害に遭う可能性がありました。この問題はCursorバージョン2.5で修正されています。

2つ目は「CursorJacking」と呼ばれる脆弱性(CVSS 8.2)です。Cursorはセキュリティ上のベストプラクティスに反して、APIキーやセッショントークンをmacOSのキーチェーンではなくローカルの暗号化されていないSQLiteデータベースに保存していました。このため、インストールされた拡張機能が、ユーザーの許可なく機密情報を抽出できる状態にありました。こちらは記事公開時点で未修正とされています。

記者の視点:AIエージェント時代のセキュリティリスク

今回の一連の脆弱性が示しているのは、AIツールが開発ワークフローに深く組み込まれるほど、攻撃対象領域が広がるという構造的な問題です。

従来のコードエディタは基本的にテキストを編集するだけでしたが、AIコーディングツールはファイルの読み書き、Git操作、外部API呼び出しなどを自律的に行います。Cursorの脆弱性について研究者が指摘しているように、「AIエージェントが自律的にGit操作を実行し始めた瞬間に、Gitの機能が攻撃経路になる」のです。

特にCI/CD環境での脆弱性は影響が大きく、1つのリポジトリへの攻撃がビルドパイプライン全体に波及するサプライチェーン攻撃につながりかねません。開発チームには、AIツールのバージョン管理と速やかなアップデートが、コードの品質管理と同じレベルで求められる時代になっています。

開発者がいま取るべき対策

今回の脆弱性に対して、開発者が確認すべきポイントは明確です。

  • Gemini CLIを使っている場合: 安定版は0.39.1以上、プレビュー版は0.40.0-preview.3以上へアップデートし、CI/CDワークフローではGEMINI_TRUST_WORKSPACEの設定を見直す
  • Cursorを使っている場合: バージョン2.5以上にアップデートし、CursorJackingが未修正であることを踏まえて拡張機能の選定に注意する
  • AIツール全般: 信頼できないリポジトリでAIエージェントを自動実行しない、ワークスペースの信頼設定を定期的に確認する

AIが開発を加速させる一方で、その利便性を安全に享受するには、ツール自体のセキュリティにも目を配る必要があります。「AIに任せているから安心」ではなく、「AIに任せているからこそ注意する」という意識が、これからの開発者に求められる姿勢ではないでしょうか。

ランキング参加中
【公式】2025年開設ブログ
ランキング参加中
テクノロジー
ランキング参加中
ニュース