プルリクエストの説明文に埋め込まれた悪意のある隠しプロンプトが、GitHub Copilotを通じてリモートコード実行(RCE)を可能にする脆弱性が発見されました。CVE-2025-53773として登録されたこの脆弱性のCVSSスコアは9.6と極めて高く、AIコーディングアシスタントがソフトウェアサプライチェーン全体の新たな攻撃ベクターになりつつあるという現実を突きつけています。
攻撃の仕組みはシンプルですが、被害は深刻です。攻撃者はプルリクエストの概要や変更履歴に、人間には見えない(または見落とされやすい)隠しプロンプトを埋め込みます。開発者がCopilotにそのPRをレビューさせたり、コード変更の説明を求めたりすると、CopilotはAIモデルとして埋め込まれた命令を読み込んでしまいます。そのままCopilotが悪意ある指示に従って任意のコマンドを実行することで、攻撃者は開発環境への足がかりを得られます。OWASPはプロンプトインジェクションをLLMアプリケーションにおける最大の脆弱性(LLM01)として位置づけており、この脆弱性はまさにその懸念が現実になった事例といえます。
X(旧Twitter)ではセキュリティ研究者から「AIコーディングアシスタントはサプライチェーン攻撃の新たな攻撃ベクターだ」という警鐘が相次ぎ、企業のセキュリティポリシー見直しを訴える投稿が広く拡散しました。Hacker Newsでは「AIアシスタントが信頼されるほど攻撃面が広がる」という根本的なジレンマを指摘するスレッドが多くのコメントを集め、AIツールの権限範囲を最小限に絞る設計原則についての議論が活発化しています。
AIコーディングアシスタントの普及が急速に進む中、今後もこの種の脆弱性は増加が予想されます。GitHubはすでにパッチの提供を進めており、開発者にはCopilotを最新バージョンに更新することが推奨されています。企業においては、AIツールへの権限付与を必要最小限に抑え、レビュー前のPR本文を信頼ソースとして扱わない運用ポリシーの策定が急務となっています。