ファーストパーティ製ツールの呼び出し
サードパーティ製ツールの呼び出し
ネットワークリクエスト
ワークスペースの信頼
- ユーザーの settings.json ファイルを開く
- 次の設定を追加する:
Agentのセキュリティ
Cursor Agentを使用する際のセキュリティに関する考慮事項
プロンプトインジェクションやAIのハルシネーションなどにより、AIが予期せぬ、場合によっては悪意ある動作を取ることがある。プロンプトインジェクションの根本的な解決に継続的に取り組みつつ、Cursor製品では、エージェントが実行できる操作に対するガードレール(既定で機密性の高い操作に手動承認を必須とすることを含む)を主な保護手段としている。本ドキュメントの目的は、これらのガードレールの内容と、それによってユーザーが何を期待できるかを説明すること。
以下のコントロールと動作はすべて、デフォルトかつ推奨の設定。
Cursor には、エージェントがユーザーのコード作成を支援するためのツールが同梱されている。これには、ファイルの読み取り、編集、ターミナルコマンドの実行、ドキュメントのウェブ検索などが含まれる。
読み取り系ツールは承認不要(例: ファイルの読み取り、コードベース全体の検索)。ユーザーは .cursorignore を使って特定ファイルへのエージェントのアクセスを完全にブロックできるが、それ以外では一般に承認なしで読み取りが許可される。機微情報の流出リスクがあるアクションには明示的な承認が必要。
現在のワークスペース内のファイルを変更する場合は、一部の例外を除き明示的な承認は不要。エージェントがファイルに変更を加えると、即座にディスクへ保存される。ファイル内容をいつでも元に戻せるよう、バージョン管理されたワークスペースで Cursor を実行することを推奨する。エディタのワークスペース設定ファイルなど、IDE/CLI の設定を変更するファイルを書き換える前には明示的な承認が必要。ただし、ファイル変更で自動リロードする設定にしているユーザーは、エージェントの変更がレビュー前に自動実行を引き起こす可能性がある点に注意してほしい。
エージェントが提案するすべてのターミナルコマンドは、デフォルトで承認が必要。エージェントが実行する前に毎回コマンドを確認することを推奨する。リスクを受け入れるユーザーは、承認なしで全コマンドを実行する設定にすることも可能。Cursor には allowlist 機能があるが、セキュリティコントロールとは見なしていない。特定のコマンドのみを許可する運用を選ぶユーザーもいるが、これはベストエフォートであり回避される可能性がある。「Run Everything」は、設定した allowlist をすべて迂回するため推奨しない。
Cursor は MCP を介して外部ツールと接続できる。すべてのサードパーティ製 MCP 接続は、ユーザーによる明示的な承認が必要。ユーザーが MCP を承認すると、デフォルトでは、外部 MCP 連携において Agent Mode が提案する各ツール呼び出しは、実行前に個別に明示的な承認が必要になる。
ネットワークリクエストは、攻撃者によるデータの持ち出しに悪用される可能性がある。現時点では、厳選したホスト(例:GitHub)向けのリクエスト、明示的なリンク取得、そして限られたプロバイダによるウェブ検索のサポートを除き、ファーストパーティ製ツールからのネットワークリクエストはサポートしていない。任意のエージェントによるネットワークリクエストは、デフォルト設定で無効化している。
Cursor IDE は、既定で無効になっている標準のワークスペース信頼機能をサポートしてる。ワークスペース信頼は、新しいワークスペースを開いたときに、通常モードか制限モードかを選ぶプロンプトを表示する。制限モードにすると、AI をはじめ、Cursor を使う主な機能が動かなくなる。信頼できないリポジトリを扱う場合は、基本的なテキストエディタなど、別のツールの利用をおすすめする。
ワークスペース信頼は、次の手順でユーザー設定から有効化できる:
Cursor の脆弱性を見つけたと思ったら、GitHub の Security ページにあるガイドに従ってそこで報告してね。もし GitHub が使えない場合は、security@cursor.com に連絡してもOK。
脆弱性報告は5営業日以内に受領を通知して、できるだけ早く対応するよ。対応結果は GitHub の Security ページでセキュリティアドバイザリとして公開する。重大なインシデントは、GitHub の Security ページでの告知に加えて、すべてのユーザーにメールでも案内する。