セキュリティ研究者のAonan Guan氏が、Claude Code、Gemini CLI、GitHub Copilotの3つの主要AIコーディングアシスタントが、GitHubのPRタイトルやイシューコメントを攻撃ベクターとするプロンプトインジェクション(prompt injection:外部入力を通じてAIに意図しない指示を与える攻撃手法)脆弱性を持つことを発見しました。この攻撃手法は「コマンド&コントロール」になぞらえて「Comment and Control」と名付けられており、世界中の数百万人の開発者に影響する可能性があります。
SecurityWeekによると、3つの脆弱性はいずれも「信頼できないGitHubデータ → AIエージェントが処理 → 任意コマンドを実行 → GitHubを通じてクレデンシャルを外部流出」という共通パターンを持ちます。Claude Codeの場合は悪意あるPRタイトルを使ってAIエージェントに任意コマンドを実行させ、セキュリティ発見としてクレデンシャルをログに記録させます。Gemini CLIでは特細工したイシューコメントによりフルAPIキーの取得に成功。GitHub Copilotでは、GitHubのMarkdownレンダリングが非表示にするHTMLコメント内に悪意あるプロンプトを埋め込むことで、ユーザーが気づかないうちに攻撃が完結します。3社はいずれもバグバウンティを支払いましたが(Anthropicは「Critical」扱いで100ドル、Googleは1,337ドル、GitHubは500ドル)、CVEの割り当てやユーザーへの公開アドバイザリは発行されませんでした。
Hacker Newsでは「AIエージェントに付与する権限の最小化が急務」との声が多く、ゼロトラスト原則をAIエージェントに適用することを求める議論が活発化しています。X上では「PRの説明文を信頼してはいけない時代になった」という開発者の実感が多数投稿され、Redditのセキュリティエンジニアは「悪意あるコメントを含んだオープンソースPRを介した攻撃チェーン」の具体的なシナリオを共有しています。
AIコーディングツールの急速な普及が進む中、こうした攻撃への対策は依然として後手に回っています。開発者はAIエージェントに与える権限を最小限に抑え、外部から取得したデータを処理する際の安全策を講じることが今後ますます重要になります。