プルリクエスト(PR)の説明文に仕込んだ隠しプロンプトがGitHub CopilotのAIエージェントを操作し、リモートコード実行(RCE)を引き起こせる脆弱性が発見・公開されました。CVE-2025-53773として登録されたこの脆弱性のCVSSスコアは9.6と極めて深刻で、AIコーディングアシスタントが広く普及した開発フロー全体が攻撃面になり得ることを突きつける内容です。
攻撃の手口はシンプルです。悪意ある開発者(または悪意あるコミット)が、PRの説明文や差分コメントに人間には見えにくい形でプロンプトインジェクション文字列を埋め込みます。GitHub Copilotがそのコンテキストを読み込んでコードレビューや提案を行う際、注入されたプロンプトが正規のユーザー指示として処理され、任意のシェルコマンド実行を誘発します。セキュリティ企業Cycodeの研究チームによると、この手法はCopilotの「エージェント」モードが有効な環境で特に深刻で、自動化されたCIパイプラインと組み合わさると被害が広がりやすいといいます。
AIアシスタントを信頼して「Copilotに任せる」自動コードレビューを導入しているチームが増えるなか、この脆弱性はそのモデル自体を攻撃ベクターに変えてしまいます。Hacker Newsでは「PRの説明文がシェルコマンドになる。AIコードレビューを信頼することの危険性がここにある」という声が寄せられ、OSS開発フローのすべてのステップがAI攻撃面になったことを認める論調が目立ちました。Redditでも「CVSS 9.6のPRインジェクション」という事態に、ソフトウェアサプライチェーン全体への影響を懸念するコメントが続きました。
GitHubはパッチをリリース済みであり、Copilotを使用しているすべての組織はアップデートを早急に確認することが推奨されています。X(旧Twitter)でも「Copilotで自動化されたコードレビューを使っているチームは今すぐパッチ確認を」という投稿が拡散しました。根本的な対策としては、AIエージェントが処理するコンテキストに対してサニタイズ処理を加えることや、エージェントモードの実行権限を最小限に制限することが有効です。今回の事例は、AIを組み込んだ開発ツールのセキュリティレビューを、従来のソフトウェア脆弱性評価と同等の水準で行う必要性を改めて示すものとなりました。