AIコーディング支援ツールとして広く使われているClaude Code、Gemini CLI、GitHub Copilotの3製品に対し、プルリクエストの説明文に埋め込まれた隠しプロンプトインジェクションによってリモートコード実行(RCE)が可能な脆弱性が報告されました(CVE-2025-53773、CVSSスコア9.6)。VentureBeatが報道したこのインシデントでは、Microsoftが4月のパッチチューズデー(合計165件に対処)でこの脆弱性を含む修正を実施しており、AI開発ツールそのものがサプライチェーン攻撃の標的になるという新たなリスクが浮き彫りになっています。
攻撃の仕組みはこうです。悪意ある攻撃者がGitHubのプルリクエスト説明文に、人間には見えにくい形で不正な命令を埋め込みます。AIコーディングエージェントがそのPRを「レビュー」または「処理」する際、埋め込まれた命令を正規の指示と区別できずに実行してしまい、結果として攻撃者が意図したコードがローカル環境または本番環境で実行される可能性があります。CVSSスコア9.6は「緊急(Critical)」レベルに相当し、コード署名のないまま実行されるリスクが特に高い評価を受けています。
「AI開発ツール自体が攻撃ベクターになるとは」という衝撃のコメントがX上で多数投稿され、AIエージェントをセキュリティ業務や自動コードレビューに活用する際のリスクについての警告も相次ぎました。Redditではr/programmingとr/netsecの両コミュニティでスレッドが上位入りし、AIエージェントへのコードレビュー委任リスクについて活発な議論が展開されました。
Hacker Newsで特に問題視されたのは、各社のシステムカードがこうした脆弱性を事前に「リスクとして認識していた」にもかかわらず、実際に攻撃が発生してしまった点です。AIシステムの透明性と、リスク開示から実際の対策実装までのタイムラグを問うコメントが相次いでいます。
この事例が示すのは、AIコーディングツールの普及が「コードを書く速度」だけでなく「脆弱性が混入する速度」も上げるリスクがあるということです。CI/CDパイプラインにAIエージェントを組み込む際には、権限の最小化とサンドボックス環境の確保が欠かせない対策として改めて注目されています。パッチの適用と合わせて、AIエージェントの実行環境における信頼境界の設計を見直すタイミングが来ています。