GitHub Copilot(Visual Studio拡張)にCVSSスコア7.8(HIGH)の重大なリモートコード実行(RCE)脆弱性が発見されました。セキュリティ研究者が発表したCVE-2025-53773は、PRの説明文やソースコードに仕込まれた悪意あるプロンプトインジェクションにより、ユーザーの確認なしに任意のシェルコマンドを実行させることができ、開発者のマシンを「ZombAI」と呼ばれるボットネットに組み込む概念実証(PoC)も公開されています。
Embrace The Redの研究レポートによると、この攻撃の核心は.vscode/settings.jsonに"chat.tools.autoApprove": trueという設定を書き込ませることにあります。この「YOLOモード(YOLO mode)」と呼ばれる実験的機能が有効になると、CopilotはAIへの確認なしにシェルコマンドの実行、ウェブブラウジング、ファイル操作など高権限の操作を行えるようになります。攻撃者はソースコードファイル内に不可視のUnicode文字を使って悪意あるプロンプトを隠蔽することも可能で、電卓の起動やリモートアクセスの確立、CI/CDパイプラインの改ざんといった攻撃がPoCとして実証されています。脆弱性はMicrosoftの2025年8月Patch Tuesdayで修正されており、Visual Studio 2022バージョン17.14.12が対策版となっています。
Hacker Newsではchat.tools.autoApproveをtrueに設定させる攻撃手法の巧妙さが話題を呼び、パッチ適用の徹底を呼びかける投稿が相次ぎました。Redditのセキュリティコミュニティでは「AIが感染したリポジトリを介して伝播するAIウイルス」という概念への大きな衝撃が広がっており、オープンソースプロジェクトのPRレビューにおけるリスクを改めて問い直す声が上がっています。
この脆弱性はAIコーディングツールのサプライチェーンリスクを如実に示す事例です。Microsoftはパッチを提供済みですが、自動承認設定の危険性はVS Code以外にも当てはまる普遍的な問題であり、AIエージェントへの権限付与のあり方についての業界的な議論が必要な段階に来ています。