セキュリティ研究者が、GitHub Actionsと連携する人気AIエージェント3つを新型プロンプトインジェクション手法でハイジャックし、APIキーとアクセストークンの窃取に成功したことを報告しました。CI/CD(継続的インテグレーション/継続的デリバリー)パイプラインにAIエージェントを組み込んでいる開発者・企業にとって、サプライチェーン攻撃の現実的なリスクが証明された格好です。
攻撃の手口は、AIエージェントが処理するプルリクエストのコメントやコードレビュー依頼に悪意ある指示を埋め込むもので、エージェントがそれを実行してしまうことでシークレット情報が外部に送信されます。GitHub Actionsとの統合においてAIエージェントは強力なパーミッション(権限)を持つことが多く、この権限が攻撃者に悪用される構造的リスクを本事例は示しています。X上では「CI/CDパイプラインにAIエージェントを組み込んでいる企業は今すぐアクセス権を見直すべき」という実務的な警告が開発者の間で多数シェアされました。
r/devopsでは「GitHub Actionsとの連携はセキュリティレビューなしに進めるべきではない」という議論が活発で、影響を受けるツールの名称と具体的な対策を共有するスレッドが立ち上がっています。Hacker Newsでは「AIエージェントのサプライチェーンセキュリティは設計段階からの取り組みが必要。事後対応では追いつかない」というセキュリティ専門家のコメントが高評価を獲得し、最小権限の原則の徹底を求める声が多く集まっています。
AIエージェントの自動化が進むほど、攻撃の侵入経路も広がります。エージェントへの権限付与は必要最小限に抑え、信頼できないコンテンツを処理する際には機密情報へのアクセスを遮断する設計が今後のスタンダードになるでしょう。