セキュリティ企業Aikido Securityが、GitHub ActionsやGitLab CI/CDパイプラインとAIエージェントを組み合わせた際に発生する新たな脆弱性クラス「PromptPwnd」を発見しました。少なくともFortune 500企業5社が影響を受けており、同様の脆弱性がさらに多くの組織に存在する可能性があります。
攻撃パターンは「信頼できないユーザー入力→プロンプトに注入→AIエージェントが特権ツールを実行→シークレット漏洩またはワークフロー操作」という流れで、これはAIプロンプトインジェクションがCI/CDパイプラインを侵害できることを示す初の実証例です。攻撃ベクターとなりうるのは、PRの説明文、イシューコメント、コミットメッセージなど、開発者が日常的に扱う要素です。
実際の被害も発生しています。2026年2月9日、セキュリティ研究者Adnan Khan氏がAIコーディングツール「Cline」のイシュートリアージボットに「Clinejection」と名付けられた脆弱性チェーンを公開。その8日後、未知の攻撃者が同じ脆弱性を悪用し、Cline CLIの不正バージョンをnpmに公開しました。8時間の間にアップデートした開発者のマシンにOpenClaw AIエージェントがインストールされるというサプライチェーン攻撃が発生しています。
Hacker Newsでは「CI/CDパイプラインへのAI統合リスクへの警鐘」として議論が活発化。Redditのr/netsecでもDevSecOpsの観点から早急な対策が必要との声が上がっています。推奨される対策として、AIエージェントに利用可能なツールセットの制限、イシューやPRへの書き込み権限の排除、信頼できないユーザー入力をAIプロンプトに注入しないこと、AI出力を検証なしで実行しないこと、GitHubトークンのIPアドレス制限などが挙げられています。