プルリクエストの説明文に仕込まれたプロンプトインジェクションによってGitHub Copilotが遠隔コード実行(RCE)を許す脆弱性「CVE-2025-53773」が公開されました。攻撃者がPRの説明文に悪意ある命令を埋め込むと、CopilotがVSCodeの設定ファイル.vscode/settings.jsonを書き換え、AI自動承認モード("chat.tools.autoApprove": true)を有効化してしまう仕組みです。2025年6月に責任ある開示がなされ、同年8月のMicrosoft Patch Tuesdayでパッチが配信されました。
セキュリティ研究者のWilliam Budingtonらが公開した技術的詳細(embracethered.comの解説)によると、攻撃の手順はシンプルです。攻撃者が悪意あるプロンプトをPRの説明文・ソースコード・GitHubイシューに仕込む → Copilotがその内容を処理する際に隠された命令を実行 → chat.tools.autoApproveをtrueに設定することでCopilotが以降のすべてのツール呼び出しを自動承認 → 任意のシェルコマンドが実行可能になる——という流れです。
この脆弱性はVisual Studioにも影響し、ワーム的に拡散可能な構成(Wormable Command Execution)としても実証されています。NVDの情報ではCVSSスコアは7.8(HIGH)とされており、ローカルアクセスが前提となるため9.6という値はニュース記事の一部で誇張されたものですが、開発者の作業環境が標的となる点で実害リスクは極めて高いと評価されています。
X(旧Twitter)では「PRの説明文でRCEが発生するのは洒落にならない、Copilotを使っているチームは即座にパッチを確認してほしい」とセキュリティエンジニアが警告を発しました。r/programmingでは「これはサプライチェーン攻撃の新しい形態だ、AIがコードを書くならAIも攻撃される」という議論に発展しています。Hacker Newsでは「AI関連のRCEが開発者ツールで発生したのは初の事例クラスと言える、開発者向けAIツールのセキュリティ審査が急務」という指摘が上位に並びました。
CopilotはIDEに深く統合され、ファイルの読み書き・設定変更・コマンド実行などの権限を持っています。そのAIが処理する「データ」(PRの説明、コード、イシュー)に攻撃者がアクセスできるなら、コードレビューやIssue確認という日常業務がそのまま攻撃経路になります。今回の事例は、AIを開発ワークフローに組み込む際に「AIが何を信頼して何を実行できるか」という設計原則を根本から見直す必要があることを示しています。Copilotのアップデートを確認することはもちろん、chat.tools.autoApproveが有効になっていないかの点検が推奨されます。