セキュリティ研究者のAonan Guanが「Comment and Control」と名付けたプロンプトインジェクション攻撃を公開し、大きな衝撃を与えています。PRタイトルやIssueコメントに悪意あるプロンプトを埋め込むことで、Claude Code・Gemini CLI・GitHub Copilotの3製品からAPIキーやGITHUB_TOKENを窃取できることを実証。Anthropic・Google・Microsoftはいずれも非公開でバグバウンティを支払ったことが明らかになっています。
Guanの調査によると、AIコーディングエージェントがGitHubのPRやIssueを自動的に読み込む際、埋め込まれたインストラクションを正規のユーザー指示と混同してしまうことが根本的な原因です。特にGitHub Copilotについては、環境フィルタリング・シークレットスキャン・ネットワークファイアウォールという3つのセキュリティレイヤーをすべて迂回する手法が実証されており、コードレビュー支援ツールが意図せずインサイダー脅威として機能してしまうリスクが浮き彫りになりました。
X上では「3社ともCVEを割り当てず公開アドバイザリーも出さなかった」点に対してセキュリティ研究者から責任ある開示プロセスへの批判が殺到しました。Hacker Newsでは「AI Coding AgentsはInsider Threats」というスレッドが立ち、「MCP(モデルコンテキストプロトコル)経由のサプライチェーン攻撃も同様のリスクを抱える」という議論に発展。「AIに付与する権限の最小化が急務」という実践的なアドバイスが高評価を得ました。r/netsecでは攻撃の技術的詳細が詳しく分析され、既存のセキュリティレイヤーがいかに無効化されたかという解説が注目を集めました。
AIコーディングエージェントが開発現場に深く浸透するほど、プロンプトインジェクション攻撃の攻撃面(アタックサーフェス)は広がります。エージェントが読み込むデータソースの信頼性検証と権限スコープの最小化が、開発チームにとっての喫緊のセキュリティ課題となっています。