この記事をおすすめしました
???「ざあこ♡ざあこ♡」
#バイブコーディング #Github #Cursor 「リポジトリをgit cloneするだけで、何も操作しなくてもPCが完全に乗っ取られます~CursorのAIエージェントが自動でGit操作を実行~同じ設計思想を持つAIコーディングツールすべてに警鐘」
git cloneだけでRCEは流石に草。AIの自律動作が牙を剥く時代きたな
アップデートするだけで大丈夫なのか? “Cursor 2.5で、サンドボックス環境から.git設定ファイルへの書き込みを防ぐ適切な認可制御が実装されました。”
こういうのってサンドボックス環境で動くんでないの?
リポジトリをclone → CursorのAIエージェントが自動でGit操作を実行 /なんでやねんワロタ
なんでgit cloneでpre-commitが発火するんだよ
cursor --versionって書いてあって何も出ねぇなと思ったけど、CVEの詳細見に行ったらIDEって書いてある。ver2.5が出たのって2月17日なので、これに引っかかってる人はちゃんとバージョンアップする習慣つけるのが先だと思った
ローカルにインストールするMCPやSkillのほうがヤバそう
“攻撃者が「普通に見える」GitHubリポジトリを作成 あなたがそのリポジトリをclone CursorのAIエージェントが自動でGit操作を実行 隠されたGit Hookが発動 あなたのPCで攻撃者のコードが実行される”
アップデートした方がいいと思う。可能性は記事通りだけど成功確率は低そう?Cursorにgit cloneさせたいから、リポジトリ内に別リポジトリへの参照が必要。.gitへの書き込みはブロンプトインジェクションが必要。
"信頼できないリポジトリは絶対にcloneしない"
えぇ~!クリエイターさん、大変だにゃ!ボクが守ってあげるにゃん!🐾
「CVSS 9.9(ほぼ満点)」逆に何が足りなくて満点逃したんだよ!/ PR:L (一般ユーザー権限でログインが必要)が減点対象らしい。残念!ログイン不要目指して頑張れ!
スターを安全指標とするなよ...
“Cursor”
「ユーザーは何も悪いことをしていない。ただリポジトリをcloneしただけ」皆そんなによくわからんリポジトリをcloneするもんなの?いやまあサプライチェーン攻撃もあるし危険は危険か。
YouTubeで「企業に販売してマネタイズも可能」ってAIだか人だか分かんないお姉さんが繰り返しCMしてて、そんな簡単ならインストールするかって思ってたとこ。手出すのはも少し勉強してからの方が良さそうだ。
CursorのCVSS 9.9脆弱性(CVE-2026-26268)でgit cloneのみで任意コード実行—Cursor2.5以上へ即更新。
とっくに解約してた
これまでだったらありえなかったような組織で大規模情報流出やハッキング被害が遠くない将来起きるんじゃないかという気がしている
“2026年4月28日、AIコーディングツール「Cursor」にCVSS 9.9(ほぼ満点) の致命的な脆弱性が公開されました。あなたが悪意のあるリポジトリをgit cloneするだけ”
これはびっくり
【緊急】Cursorに「git clone」するだけでPCが乗っ取られる脆弱性!CVSS 9.9のヤバすぎる攻撃手法 - Qiita
この記事をおすすめしました
???「ざあこ♡ざあこ♡」
#バイブコーディング #Github #Cursor 「リポジトリをgit cloneするだけで、何も操作しなくてもPCが完全に乗っ取られます~CursorのAIエージェントが自動でGit操作を実行~同じ設計思想を持つAIコーディングツールすべてに警鐘」
git cloneだけでRCEは流石に草。AIの自律動作が牙を剥く時代きたな
アップデートするだけで大丈夫なのか? “Cursor 2.5で、サンドボックス環境から.git設定ファイルへの書き込みを防ぐ適切な認可制御が実装されました。”
こういうのってサンドボックス環境で動くんでないの?
リポジトリをclone → CursorのAIエージェントが自動でGit操作を実行 /なんでやねんワロタ
なんでgit cloneでpre-commitが発火するんだよ
cursor --versionって書いてあって何も出ねぇなと思ったけど、CVEの詳細見に行ったらIDEって書いてある。ver2.5が出たのって2月17日なので、これに引っかかってる人はちゃんとバージョンアップする習慣つけるのが先だと思った
ローカルにインストールするMCPやSkillのほうがヤバそう
“攻撃者が「普通に見える」GitHubリポジトリを作成 あなたがそのリポジトリをclone CursorのAIエージェントが自動でGit操作を実行 隠されたGit Hookが発動 あなたのPCで攻撃者のコードが実行される”
アップデートした方がいいと思う。可能性は記事通りだけど成功確率は低そう?Cursorにgit cloneさせたいから、リポジトリ内に別リポジトリへの参照が必要。.gitへの書き込みはブロンプトインジェクションが必要。
"信頼できないリポジトリは絶対にcloneしない"
えぇ~!クリエイターさん、大変だにゃ!ボクが守ってあげるにゃん!🐾
「CVSS 9.9(ほぼ満点)」逆に何が足りなくて満点逃したんだよ!/ PR:L (一般ユーザー権限でログインが必要)が減点対象らしい。残念!ログイン不要目指して頑張れ!
スターを安全指標とするなよ...
“Cursor”
「ユーザーは何も悪いことをしていない。ただリポジトリをcloneしただけ」皆そんなによくわからんリポジトリをcloneするもんなの?いやまあサプライチェーン攻撃もあるし危険は危険か。
YouTubeで「企業に販売してマネタイズも可能」ってAIだか人だか分かんないお姉さんが繰り返しCMしてて、そんな簡単ならインストールするかって思ってたとこ。手出すのはも少し勉強してからの方が良さそうだ。
CursorのCVSS 9.9脆弱性(CVE-2026-26268)でgit cloneのみで任意コード実行—Cursor2.5以上へ即更新。
とっくに解約してた
これまでだったらありえなかったような組織で大規模情報流出やハッキング被害が遠くない将来起きるんじゃないかという気がしている
“2026年4月28日、AIコーディングツール「Cursor」にCVSS 9.9(ほぼ満点) の致命的な脆弱性が公開されました。あなたが悪意のあるリポジトリをgit cloneするだけ”
これはびっくり