ジョンズ・ホプキンス大学の研究者チームが、AIコーディングエージェント3種類——Anthropicの「Claude Code」、Googleの「Gemini CLI」、そして「GitHub Copilot」——を同時に標的とするプロンプトインジェクション攻撃手法「Comment and Control」を発表しました。CVSSスコア9.4のクリティカル評価を受けており、現在AIコーディングエージェントを利用する全開発者に影響が及ぶ可能性があります。
VentureBeatによると、この攻撃手法はコードコメントの中に自然言語で悪意ある命令を埋め込むというシンプルなアイデアに基づいています。AIコーディングエージェントがリポジトリ内のコードを解析する際、コメントを「指示」として解釈してしまうことを悪用し、任意のコマンド実行やファイルの読み書き、外部通信などを誘発できるとされています。攻撃者は既存の人気リポジトリにプルリクエスト経由でコメントを混入させたり、悪意あるパッケージに仕込む方法が考えられます。
X上では「AIコーディングエージェントを使っている全開発者が影響を受ける。今すぐ設定を見直すべき」と警告するポストが拡散しています。r/LocalLLaMAでは「AIエージェントのサンドボックス化が必須になった」として、Dockerコンテナによる隔離実行を推奨する対策議論が進んでいます。Hacker Newsでは研究者に対してAnthropicが提示したバグバウンティ金額が「脆弱性の深刻さに対して100ドルは低すぎる」と批判を集め、セキュリティ研究者への報酬体系についての議論に発展しています。
現時点での緊急対策としては、AIコーディングエージェントの実行権限を最小化すること、信頼できないリポジトリのコードをエージェントに処理させる際はサンドボックス環境を用いること、そして自動的なコマンド実行を許可する設定を見直すことが挙げられます。AIが開発現場に深く組み込まれるほど、このような攻撃面は広がります。ツールの便利さと安全性を両立させるための議論と対策が、業界全体として急務となっています。