GitHubのAIコーディング支援ツール「GitHub Copilot」において、プルリクエストの説明文(PR description)を悪用してモデルの動作を乗っ取るプロンプトインジェクション脆弱性(CVE-2025-53773)が発見されました。共通脆弱性評価システム(CVSS)スコア9.6と最高水準に近い深刻度で、悪用されれば遠隔コード実行(RCE: Remote Code Execution)が可能になると評価されています。
プロンプトインジェクション(Prompt Injection)とは、AIモデルへの入力に悪意ある命令を紛れ込ませ、本来の指示を上書きする攻撃手法です。今回発見された脆弱性では、攻撃者が悪意ある命令をプルリクエストの説明欄に埋め込むことで、CopilotがそのPRを処理した際に不正なコードを実行させることができます。GitHub Copilotは多くの開発チームの日常的なワークフローに深く組み込まれているため、影響を受けるユーザー数は膨大と考えられます。GitHubは既に修正パッチをリリースし、ユーザーに即座のアップデートを促しています。
X(旧Twitter)ではこのニュースが広く拡散し、「AIアシスタントへの過信への警告」「Copilotを使っている全チームが見直すべき」という反応が相次ぎました。Redditのr/netsecでは、プルリクエストの信頼性評価のあり方と、外部コントリビューターからのPRを自動処理させることへのリスクについて慎重な議論が行われています。Hacker Newsでは「AIアシスタントのセキュリティ問題は今後も続く根本的な課題」とし、人間によるコードレビューの重要性を再認識するべきという意見が支持を集めました。
今回の脆弱性は、AI統合ツールのセキュリティ検証がいかに重要かを改めて示しています。AIが開発フローに深く入り込むほど、攻撃対象面(アタックサーフェス)が広がるリスクは避けられません。Copilotを利用している開発チームは最新バージョンへのアップデートを最優先に確認することが強く推奨されます。