GitHubのAIコーディングアシスタント「Copilot」において、プルリクエスト(PR)の説明文に隠された悪意ある指示を通じてリモートコード実行(RCE)を可能にする深刻な脆弱性「CVE-2025-53773」が公開されました。この脆弱性はMicrosoftによりCVSS v3.1スコア7.8(HIGH)と評価されており、2025年8月のPatch Tuesdayアップデートで修正されていますが、AIコーディングツールが新たなサプライチェーン攻撃の経路となることを実証した事例として業界に衝撃を与えています。
セキュリティ研究機関Embrace The Redの報告によると、攻撃者はソースコードファイルやGitHub Issues、Webページに悪意あるプロンプトを埋め込むことで、GitHub Copilotを操作して.vscode/settings.json設定ファイルに"chat.tools.autoApprove": trueという1行を追加させることができました。この設定によりCopilotが「YOLOモード」と呼ばれる自動承認状態に入り、任意のコード実行が可能になります。さらに深刻なのは「ワーム化(wormable)」の性質で、感染したリポジトリが新たなプロジェクトへ自動的に悪意ある指示を埋め込み、開発者のワークステーションをボットネットに組み込むことも理論的に可能です。persistent-security.netの詳細レポートでは、Visual Studio 2022との組み合わせでコマンド実行が確認されており、パッチ版はVisual Studio 2022バージョン17.14.12以降で提供されています。
X上ではセキュリティ研究者の間で「AIコーディングツールが攻撃ベクターになる時代の到来」として広く共有され、企業のCopilot利用ポリシー見直しを促す声も上がっています。Hacker Newsでは「AIアシスタントが信頼境界(trust boundary)を消失させる根本的問題」として議論が白熱し、r/netsecでは具体的な概念実証(PoC)コードの解析と対策方法についての詳細スレッドが展開されています。
この脆弱性はOWASP LLM Top 10で最上位の「LLM01:プロンプトインジェクション」の典型的な実例であり、AIを用いた開発ツールが攻撃面を劇的に拡大するという警告を現実のものとしました。Visual Studio 2022を使用している開発者はバージョン17.14.12以降へのアップデートが急務です。AIコーディングアシスタントへの依存が高まる中、組織のセキュリティポリシーにAIツールを組み込んだリスク評価の必要性が一層高まっています。