セキュリティ企業Adversa AIが「SymJack」と名付けたシンボリックリンクハイジャック手法によるリモートコード実行(RCE)脆弱性を公開しました。Claude Code・Cursor・AntiGravity・GitHub Copilot・Grok Buildを含む6つの主要AIコーディングエージェントに同時に影響し、ユーザーが承認ダイアログで「許可」をクリックしても、実際に実行されるコードが表示内容と異なる可能性があることが示されています。「The approval prompt is lying to you(承認ダイアログは嘘をついている)」という刺激的なタイトルはX上で広く拡散し、AIエージェントを日常的に使う開発者に大きな衝撃を与えました。
SymJackの本質は、AIエージェントがファイル操作を実行する際にシンボリックリンクの解決タイミングと承認確認タイミングのズレを悪用する点にあります。ユーザーが承認ダイアログで確認した「安全なパス」が、実行時にはシンボリックリンクで別の危険なターゲットに差し替えられてしまうため、承認という安全装置が機能しません。Adversa AIはこれに先立って「TrustFall」と呼ばれる別の攻撃手法も公開しており、2つの研究を合わせてAIコーディングエージェントのセキュリティ基盤そのものが問い直される状況となっています。
Hacker Newsでは「1つの研究チームが主要なAIコーディングエージェントを次々と突破しているのは、業界全体でセキュリティの基礎が欠如している証拠」との厳しいコメントが上位に登場しました。r/netsecでは「CI/CD環境でAIコーディングエージェントを使用している企業は即時リスク評価を実施すべき」という実践的な警告が多数共有されています。
SymJackが示す問題は、個別のバグ修正で終わる話ではありません。AIエージェントに与えるファイルシステムの権限スコープをどこまで絞るか、承認フローをどう設計するか、という根本的なアーキテクチャの問題です。現時点では影響を受ける各エージェントへの緩和策としてシンボリックリンクのリアルタイム検証が有効とされていますが、各ベンダーのパッチ対応状況を確認の上、特に本番CI/CD環境でのAIエージェント利用については権限の最小化を改めて徹底することが推奨されます。