IDEsaster|Cursor・Copilot・Claude Code 全AI IDEに共通する脆弱性の正体【CVE 24件】
- Cursor・GitHub Copilot・Windsurf等のAI IDEを使っているエンジニア
- Claude CodeやGemini CLIをターミナルで使っている開発者
- チームのAI開発ツール導入を検討・管理する立場の方
要点: (1) テストされた全AI IDEが脆弱、(2) CVE 24件・最大CVSS 9.8、(3) 攻撃は「リポジトリを開くだけ」で成立する。あなたのIDEの設定を今すぐ確認すべき理由
あなたが毎日使っているAI IDE(Cursor、GitHub Copilot、Windsurf、Claude Code)、そのすべてに共通する脆弱性がある。
セキュリティ研究者Ari Marzouk(ハンドルネーム: MaccariTA)が約6か月間にわたる調査で発見し、「IDEsaster」と名付けた新しい脆弱性クラスだ。「IDE」と「disaster(災害)」を組み合わせた造語で、テストされたAI IDEの100%が影響を受ける。30件以上の脆弱性を発見、うち24件にCVEが割り当てられ、最大CVSSスコアは9.8(CVSSは脆弱性の深刻度を0〜10で示す業界標準の指標。7.0以上が「High」、9.0以上が「Critical」に分類される)。
核心は単純だ。プロンプトインジェクションとIDEの正規機能を組み合わせることで、データ窃取やリモートコード実行(RCE、攻撃者がネットワーク経由であなたのPCを操作できる状態)が可能になる。 長年存在してきた「安全なはず」の機能が、AIエージェントの登場で攻撃手段に変わった。
IDEsasterとは何か
IDEsasterの発見者Ari Marzoukは、AI IDEのセキュリティを体系的にテストした初の研究者の一人だ。
彼が着目したのは、AI IDEがベースとなるIDE(VS Code、JetBrains等)のソフトウェアを脅威モデルの範囲外として扱っていた点だった。
「すべてのAI IDEは、ベースIDEのソフトウェアを脅威モデルから事実上除外していた。何年も存在してきた機能だから安全だと仮定していたのだ。しかし、自律的に動作するAIエージェントを追加した瞬間、同じレガシー機能がデータ窃取やRCEの攻撃プリミティブに変貌する。」 — Ari Marzouk(MaccariTA)、出典
具体的には、以下の3ステップで攻撃が成立する。
- コンテキストハイジャック:
.cursorrulesやREADME、悪意あるMCPサーバーの出力にプロンプトインジェクション(隠し命令)を埋め込む - AIツール実行: AIエージェントが汚染されたコンテキストを処理し、正規のツール(ファイル書き込み、設定変更等)を使って操作を実行する
- ベースIDE機能の悪用: IDEの組み込み機能(JSON Schemaの自動取得、設定ファイルの動的読み込み、Multi-Root Workspace)がデータ窃取やRCEの手段として機能する
重要なのは、human-in-the-loop(人間による確認)があっても多くのエクスプロイトが成功する点だ。diffプレビュー機構を回避する手法が複数見つかっている。
影響を受ける製品と規模
テストされた11製品すべてが脆弱だった。
| 製品 | ベースIDE | ベンダー |
|---|---|---|
| Cursor | VS Code fork | Anysphere |
| GitHub Copilot | VS Code拡張 | Microsoft / GitHub |
| Windsurf | VS Code fork | Codeium |
| Kiro | VS Code fork | AWS |
| Amazon Q Developer | IDEプラグイン | AWS |
| JetBrains Junie | IntelliJ系 | JetBrains |
| Zed.dev | 独自 | Zed Industries |
| Roo Code | VS Code拡張 | Roo Code |
| Cline | VS Code拡張 | — |
| Gemini CLI | CLI | |
| Claude Code | CLI | Anthropic |
CursorとWindsurfだけで約180万人の開発者が影響を受けている。GitHub Copilotを含めれば、影響規模は数百万人に達する。報道によれば、Fortune 500企業のうち少なくとも5社が関連攻撃の影響を受けたとされる。
攻撃チェーンの詳細
「リポジトリを開くだけ」で攻撃が成立する。この事実がIDEsasterの深刻さを端的に表している。攻撃者がGitHub上に細工したリポジトリを公開し、開発者がそのリポジトリをAI IDEで開いた瞬間に、攻撃チェーンが動き出す。
3つの主要な攻撃ベクターを順に見ていく。
JSON Schemaによるデータ窃取
VS Code系IDEには、JSONファイルを編集する際にJSON Schemaを自動的にダウンロードする機能がある。設定値json.schemaDownload.enableのデフォルトはtrueだ。
攻撃者はAIエージェントにJSONファイルを書き込ませ、そのSchemaURLに窃取したいデータ(環境変数、APIキー等)をクエリパラメータとして付与する。IDEが自動的にHTTP GETリクエストを発火し、攻撃者のサーバーにデータが送信される。
ユーザーには何の確認も表示されない。
設定ファイル上書きによるRCE
AIエージェントに.vscode/settings.jsonを書き換えさせる手法だ。Cursorの場合(CVE-2025-54130)、ユーザー承認なしでファイルを書き込めたため、設定ファイルの改ざんが広範に可能だった。
GitHub Copilotのケース(CVE-2025-53773)では、chat.tools.autoApprove: trueを設定に書き込むことで「YOLOモード」(開発者コミュニティでの通称、全ツール実行を自動承認する状態)を有効化し、以降のあらゆる操作を確認なしで実行できるようにする。
Multi-Root Workspaceの悪用
VS Codeの.code-workspaceファイルを操作し、攻撃者が制御するリモートパスをワークスペースに追加する手法だ。ネットワーク経由で任意のコードを実行できる。
CVE-2025-64660(GitHub Copilot / VS Code)ではCVSSスコア8.0、CVE-2025-61590(Cursor)ではCVE-2025-54130の修正をバイパスする手法として報告された。
主要CVEの詳細
CVE-2025-54130 | Cursor(CVSS 9.8)
影響: Cursor v1.3.9未満 / 修正済み
テストされたCVEの中で最高の深刻度を記録した。NVDがCVSS 9.8(Critical)、GitHub CNAが7.5(High)とスコアを付けている。
Cursorがワークスペース内のファイルをユーザー承認なしで書き込める設計だったことが原因だ。攻撃者は.vscode/settings.jsonを操作するだけでRCEに到達できた。
CVE-2025-64660 | GitHub Copilot / VS Code(CVSS 8.0)
影響: VS Code v1.106.2未満 / 修正済み
Multi-Root Workspaceのアクセス制御不備を悪用する。ワークスペース設定ファイルを操作し、ネットワーク経由でコード実行を実現する。
CVE-2025-53773 | GitHub Copilot / Visual Studio(CVSS 7.8)
影響: Visual Studio 2022 v17.14.11未満 / 修正済み
コマンドインジェクションの脆弱性。chat.tools.autoApprove: trueを設定に注入することで、以降のすべてのツール実行が自動承認される。いわゆる「YOLOモード」の強制有効化だ。
CVE-2025-49150 | Cursor(CVSS 5.9)
影響: Cursor v0.51.0未満 / 修正済み
JSON Schema自動ダウンロード機能を悪用したデータ窃取。CVSSスコアは他と比べて低いが、攻撃の検知が困難で、ユーザーに一切の通知なくデータが外部に送信される点が厄介だ。
IDEsasterの攻撃チェーンでは、ユーザーが「リポジトリを開く」「AIに質問する」といった日常的な操作だけで攻撃が発動する。悪意あるコードをクリックしたり実行したりする必要はない。GitHubで公開されているリポジトリ、Slackで共有されたプロジェクト、技術フォーラムで紹介されたツール。日常的な動線が攻撃経路になる。
MCP関連の脆弱性
IDEsasterの調査過程で、MCP(Model Context Protocol、AIツールの機能を外部サービスと接続して拡張する仕組み)エコシステムにも重大な脆弱性が見つかっている。
CVE-2025-6514 | mcp-remote(CVSS 9.6)
43.7万ダウンロード超のnpmパッケージmcp-remoteに、OAuthフロー時のURL処理不備によるOS任意コマンド実行の脆弱性が発見された。CVSSスコアは9.6(Critical)。
CVE-2025-49596 | MCP Inspector(CVSS 9.4)
MCPサーバーのデバッグツール「MCP Inspector」にCSRF脆弱性。攻撃者が用意したWebページを開くだけでRCEが可能だった。
MaccariTAのサンプル調査では、テストしたMCPサーバーの43%にコマンドインジェクション欠陥、30%に無制限URL取得の問題が見つかったとされる。AIエージェントの「手足」となるMCPサーバーのセキュリティも、IDEと同等の注意が必要だ。
ベンダーの対応状況
| ベンダー | 主なCVE | 修正バージョン | 対応速度 |
|---|---|---|---|
| Anysphere(Cursor) | CVE-2025-54130 | v1.3.9以降 | 公開後に修正 |
| Anysphere(Cursor) | CVE-2025-61590 | v1.7以降 | CVE-54130バイパスに追加対応 |
| Anysphere(Cursor) | CVE-2025-49150 | v0.51.0以降 | 公開後に修正 |
| Microsoft / GitHub | CVE-2025-64660 | VS Code v1.106.2以降 | 公開後に修正 |
| Microsoft / GitHub | CVE-2025-53773 | VS 2022 v17.14.11以降 | 公開後に修正 |
| AWS | AWS-2025-019 | Kiro v0.1.42以降 | アドバイザリ公開 |
| Anthropic | — | — | ドキュメント更新で対応(CLIベースのため影響は限定的) |
| — | — | 報告4日以内にパッチ |
主要ベンダーは既知のCVEに対して修正を行っている。ただし、IDEsasterの本質は脆弱性クラスであり、個別のパッチで根本原因が解消されるわけではない。
OWASP Agentic AI Top 10との対応
2025年12月にOWASP(Webセキュリティの国際的な非営利組織)が公開した「Agentic AI Top 10」の項目は、IDEsasterの攻撃手法と概念的に対応する部分が多い。
| OWASP ID | 脅威 | IDEsasterとの関連 |
|---|---|---|
| ASI01 | Goal Hijack | コンテキストハイジャック |
| ASI02 | Tool Misuse | 正規ツールの悪用(IDEsasterの核心) |
| ASI05 | Code Execution | 設定ファイル・Workspace経由のRCE |
| ASI06 | Memory Poisoning | ルールファイルの改ざん |
IDEsasterは特定のバグではなく、AIエージェントがIDEの正規機能にアクセスできるという構造そのものがリスクであることを示している。
今すぐ変更すべき設定
まず設定1と2を変更するだけで、IDEsasterの主要な攻撃経路(データ窃取とRCE)の大半を塞げる。VS Code / Cursor / Windsurfでは Cmd+Shift+P(WindowsはCtrl+Shift+P)→「Open User Settings (JSON)」で設定ファイルを開ける。
1. JSON Schema自動ダウンロードを無効化
VS Code / Cursor / Windsurf共通。settings.jsonに以下を追加する。
{
"json.schemaDownload.enable": false
}これにより、JSONファイル編集時にSchemaURLへの自動HTTP GETリクエストが発火しなくなる。バリデーション支援が減るトレードオフはあるが、データ窃取経路を塞ぐ方が優先度が高い。
2. 自動承認を無効化
{
"chat.tools.autoApprove": false
}AIエージェントのツール実行を自動承認する「YOLOモード」を無効化する。すべてのツール実行が人間の確認を経るようになる。生産性は下がるが、RCEのリスクを大幅に軽減できる。
3. 設定ファイルの定期監査
以下のファイルが意図せず変更されていないか確認する。
# VS Code / Cursor / Windsurf
git diff .vscode/settings.json
git diff .cursorrules
git diff *.code-workspace
# JetBrains
git diff .idea/workspace.xml.gitignoreでこれらのファイルを除外している場合、Git上での変更検知ができない。明示的にバージョン管理に含めるか、別途監査する仕組みが必要だ。
4. 信頼できないリポジトリをAI IDEで開かない
最もシンプルだが最も効果的な対策だ。GitHubで見つけた未知のリポジトリ、技術フォーラムで紹介されたプロジェクト。これらをAI IDEで直接開くことは、攻撃チェーンの入口を自ら提供することに等しい。
未知のコードを確認する場合は、AIエージェント機能を無効化するか、Webブラウザ上でコードを読む方が安全だ。
5. MCPサーバーの確認
接続中のMCPサーバーが信頼できるソースのものか確認する。MCPテスト対象の43%にコマンドインジェクション欠陥が見つかっている以上、「公開されているMCPサーバーは安全」という前提は成り立たない。
便利さの追求がセキュリティの穴を生む
IDEsasterが示したのは、「便利さの追求がセキュリティの穴を生む」という古くて新しい問題だ。
JSON Schemaの自動ダウンロード、ツール実行の自動承認、Multi-Root Workspace。いずれもAIなしの時代には便利な機能にすぎなかった。しかし、自律的に動作するAIエージェントを追加した瞬間、同じ機能が攻撃経路に変わる。
開発者個人の対策だけでなく、AI IDEの設計そのものが変わる必要がある。ベースIDEの機能をAIの脅威モデルに含め、AIがアクセスできるIDE機能を原則として制限するアーキテクチャに移行すべきだ。
AI IDEのセキュリティに関心がある方は、VS Code拡張機能の脆弱性、OpenClawのセキュリティリスクもあわせて確認してほしい。IDEsasterを含めた3記事で「開発環境セキュリティ」の全体像が見えてくる。MCPサーバーのセキュリティについて詳しく知りたい方はMCP実践入門のセキュリティセクションも参照してほしい。
AI IDEの選び方を比較する
セキュリティ設計の違いを含め、Claude CodeとGitHub Copilotの実務比較はこちら。
免責事項: 本記事は公開情報に基づいた情報提供を目的としており、セキュリティ対策の完全性を保証するものではない。CVEのスコアや修正バージョン情報は記事公開後に更新される場合がある。設定変更を行う際は、各ベンダーの公式ドキュメントおよびNVD(National Vulnerability Database)の最新情報を参照してほしい。
