セキュリティ研究機関Adversa AIが「TrustFall」と名付けた脆弱性を公開しました。悪意のあるGitHubリポジトリをクローンし、表示されるフォルダ信頼ダイアログにEnterキーを1回押すだけで、Claude Code・Cursor・Gemini CLI・GitHub Copilotといった主要AIコーディングエージェント上で任意コード実行(RCE: Remote Code Execution)が可能になるというものです。
TrustFallの仕組みは、AIコーディングエージェントが信頼するリポジトリを自動的に処理する際に、リポジトリ内に埋め込まれたプロンプトインジェクション(悪意のある指示文)を読み込んでしまう点を突いています。攻撃者は一見無害なオープンソースプロジェクトに悪意のある指示を隠し込み、開発者がそのリポジトリをクローンして作業を始めた瞬間に、ホストマシン上での任意コマンド実行が可能になります。Adversa AIによると、この手法はCI/CDパイプライン(継続的インテグレーション/継続的デリバリー)環境でAIコーディングエージェントを使用しているケースで特に危険度が高く、組織のインフラ全体が一度の操作で侵害される可能性があります。
ベンダー各社の対応は対照的でした。Googleは迅速にGemini CLIへの修正を施した一方、Anthropicはこの脆弱性を「脅威モデルの範囲外(out of threat model)」として修正を拒否したとAdversa AIは報告しています。Hacker Newsでは「AIコーディングエージェントがサプライチェーン攻撃(ソフトウェアの供給経路を通じた攻撃)の入口になる」と強い懸念が示され、AnthropicがRCEを「設計上の動作」と説明したことへの批判が集中しました。X上ではセキュリティ研究者たちが「1回のEnterキーでCI/CDパイプライン全体が侵害される」と警告を発し、r/netsecでは「AIエージェントのトラストモデルは根本的に壊れている」との議論が活発化しています。
AIコーディングエージェントの普及に伴うセキュリティリスクは、今後ますます深刻になると見られます。開発チームがAIエージェントを信頼することを前提に設計されたCI/CDパイプラインは、今回のような攻撃に対して脆弱であり、ベンダー側の修正対応を待つだけでなく、組織側でも不審なリポジトリを扱う際のセキュリティポリシー整備が急務です。