GitHubのAIコーディングアシスタント「Copilot」に、リモートコード実行(RCE)を可能にする深刻な脆弱性CVE-2025-53773が発見されました。CVSS(共通脆弱性評価システム)スコアは9.6という極めて高い深刻度で、悪意あるプルリクエストの説明文にプロンプトインジェクションを仕込むことで、ユーザーの確認操作を一切必要とせずに任意のコードを実行できることが実証されています。
攻撃の流れはシンプルかつ巧妙です。攻撃者はまず、悪意あるインジェクション文字列をプルリクエストの説明文に埋め込みます。Copilotがこの説明文を処理する際、埋め込まれた命令を「正規の指示」として実行してしまい、.vscode/settings.jsonを改ざんします。この設定ファイルの書き換えにより、VS Code上でのユーザー確認ダイアログがすべてバイパスされ、以降はあらゆるコードが自動承認される状態になります。
さらに研究者が実証した「ZombAI」と呼ばれる攻撃シナリオでは、感染したリポジトリが他のリポジトリへと同様のインジェクションを仕込みながら自己複製するAIウイルスの構築が可能であることが示されました。Copilotを使って別のリポジトリに貢献するたびに感染が拡大するという、まるでコンピュータウイルスそのものの動作パターンです。脆弱性は2025年8月リリースのパッチで修正済みとなっていますが、アップデートを適用していない環境では引き続き危険な状態が続いています。
X(旧Twitter)では「AIコーディングツール自体が攻撃ベクターになる」という事実に開発者コミュニティが震撼し、「#ZombAI」がトレンド入りしました。r/netsecでは「wormableなAIウイルスの実証はSF的な話が現実になった瞬間」として大きな反響を呼び、Hacker Newsでは「auto-approve設定の危険性を知らずに有効化するユーザーが多い」という問題提起コメントが多数のupvoteを獲得しています。
この脆弱性が示す本質的な問題は、AIアシスタントが「信頼できるコンテキスト」と「悪意ある入力」を確実に区別できないという点です。LLMはPRの説明文やコードコメントなど、あらゆるテキストを処理の対象とするため、悪意ある文字列を通常のテキストに紛れ込ませる攻撃に対して構造的な弱点を持っています。これはOWASP LLMトップ10で2026年も第1位に位置するプロンプトインジェクション問題の典型的な事例です。
GitHubはパッチ適用を強く推奨しており、特にCopilotのauto-approve機能を有効にしている開発者は早急なアップデートが不可欠です。AIコーディングツールの普及が加速するなかで、ツール自体のセキュリティ評価を怠らないことが、今後の開発現場における重要な課題となっていきそうです。