セキュリティ企業Aikido Securityが「PromptPwnd」と名付けた新たな脆弱性クラスを公開しました。GitHub ActionsやGitLab CI/CDパイプラインにおいて、Gemini CLI、Claude Code、OpenAI Codex、GitHub AI InferenceなどのAIエージェントと組み合わせて使用する際に発生するプロンプトインジェクション攻撃です。
この脆弱性では、プルリクエストの説明文、イシューコメント、コミットメッセージといった信頼できないユーザー入力がAIエージェントのプロンプトに注入され、特権ツールが実行されることでシークレットの漏洩やワークフローの改ざんが可能になります。これはAIプロンプトインジェクションがCI/CDパイプラインを侵害できることを実世界で初めて実証した事例とされています。
Aikidoの調査によると、少なくともFortune 500企業5社がこの脆弱性の影響を受けており、同様の欠陥は他の多くの企業にも存在する可能性があります。実際にGoogle自身のGemini CLIリポジトリもこの脆弱性パターンの影響を受けており、責任ある開示から4日以内にパッチが適用されました。研究者は特別に細工されたイシュータイトルを送信することで、Gemini AIを騙して管理ツールを使用させ、機密APIキーを漏洩させることに成功しています。
Hacker Newsでは「CI/CDパイプラインでのAIエージェント使用にセキュリティリスク」との警告が共有され、Redditでは「Rule of Two」フレームワークによる最小限の安全基準が提唱されています。推奨される対策として、AIエージェントが利用可能なツールセットの制限、信頼できないユーザー入力のAIプロンプトへの注入回避、AI出力を信頼できないコードとして扱い実行前に検証することが挙げられています。