プルリクエストの説明文に忍ばせた数行のテキストが、閲覧者のマシンで任意コードを実行できる——そんな脆弱性が「CVE-2025-53773」としてCVSSスコア9.6(緊急)で登録されました。Microsoftのセキュリティチームが2026年5月7日に公開した報告書によると、GitHub Copilotのコードレビュー支援機能がプロンプトインジェクションの中継点になるケースが確認されており、AIコーディング支援ツールが攻撃面(アタックサーフェス)を劇的に拡大している実態が浮き彫りになっています。
攻撃の仕組みはシンプルかつ巧妙です。悪意のある攻撃者がPRの説明文や差分コードの中に、白色テキスト・CSSによる非表示・ゼロ幅Unicodeなどを駆使して「隠し命令」を埋め込みます。人間のレビュアーには何も見えませんが、GitHub CopilotのAIエンジンはこれを解釈し、エージェントとして後続のシェルコマンドを実行してしまいます。X(旧Twitter)ではセキュリティ研究者がこの具体的な手法を解説した投稿を公開し、「人間には見えないがAIは処理する」という非対称性に多くのエンジニアが衝撃を受けました。
同時期にMicrosoft Semantic KernelでもAIエージェントをホストレベルのRCEに転換する複数の脆弱性が発見されており、AIフレームワーク全体に横断する問題であることが示唆されています。Hacker Newsでは「AIコーディングアシスタントのCIパイプラインへの導入を凍結すべき」という意見が上位コメントに浮上し、r/netsecでは「OWASP Top 10 for LLMs 2026でプロンプトインジェクションが1位になったのは偶然ではない」との指摘が多くの支持を集めました。
GitHubはすでにパッチを配布していますが、AIコーディングアシスタントを業務利用している組織は、単なるアップデート適用だけでは不十分な可能性があります。PR本文・コメント・コード差分がAIエージェントのプロンプトとして処理される経路を改めて見直し、外部からのPRに対してAIレビュー機能を自動実行する設定になっている場合は、その権限スコープを最小化することが推奨されます。「信頼できないコンテンツをAIが処理する」あらゆる経路が潜在的な攻撃ベクタとなる時代に、防御の考え方そのものを更新する必要がありそうです。