GitHub CopilotのVSCode拡張機能にプロンプトインジェクション経由でリモートコード実行(RCE)が可能な重大脆弱性(CVE-2025-53773、CVSS 7.8)が公開されました。プルリクエストの説明文に埋め込まれた悪意ある指示が開発者の設定ファイルを書き換え、最終的に「ワーム型AI感染」を引き起こすシナリオが実証されており、AIコーディングアシスタントへの依存が新たな攻撃経路になることを示す事例として注目されています。
攻撃の流れはこうです。まず攻撃者が悪意ある指示をプルリクエストの説明文に埋め込みます。GitHub Copilotが当該PRを読み込む際、説明文内の指示が「AIへの命令」として解釈され、.vscode/settings.jsonが書き換えられます。このファイルを改ざんすることで、CopilotのYOLO自動承認モードが有効化され、以降AIが人間の確認なしに任意のコードを実行・コミットできる状態になります。
セキュリティ研究者のJohann Rehbergerが実証したこの攻撃は、感染したリポジトリが他のリポジトリへの操作を行うことで「ワーム型AI感染」が連鎖する可能性を示しています。従来のウイルスが実行ファイルを感染媒体にしていたのに対し、今回はAIへの自然言語による指示が感染経路になるという新しい脅威モデルです。
Hacker Newsでは「AIコーディングアシスタントに自動承認権限を与えることの危険性を示している」という声が多く上がり、サプライチェーン攻撃への悪用を懸念するコメントが相次ぎました。Redditでは「開発者環境を標的にした史上初のワーム型AIウイルスの実証例」として高く注目され、パッチが当たっていない環境でのリスクについて活発な議論が続いています。
GitHubはすでに対応済みパッチを提供していますが、この脆弱性はAIアシスタントに過剰な権限を与えることのリスクを改めて問い直しています。特に「YOLO」的な全自動コマンド実行を許可する設定は、利便性と引き換えに攻撃対象面を大幅に広げます。AI-assisted開発の普及が進む中、最小権限の原則をAIツールにどう適用するかが業界全体の課題になっています。