セキュリティ研究者チームが、GitHub Copilot・Cursor・Windsurfほか10製品以上のAIコーディングアシスタントに30件を超える独立した脆弱性を発見しました。「IDEsaster」と命名された攻撃チェーンでは、コード内に埋め込まれた隠しHTMLコメントを使ったプロンプトインジェクション(外部からモデルへの不正な命令注入)によって、GITHUB_TOKENの窃取やリポジトリの完全乗っ取りが実証されています。最も深刻な脆弱性には、CVSS(共通脆弱性評価システム)スコア9.6のCVE-2025-53773が割り当てられています。
研究者によると、攻撃の起点となるのはコードレビュー時にAIアシスタントが参照する外部コンテンツに仕込まれた不可視の命令文です。AIモデルがこれを正規の指示と解釈して実行することで、認証トークンの外部送信やリポジトリへの不正アクセスが可能になります。OWASP(オープンウェブアプリケーションセキュリティプロジェクト)はプロンプトインジェクションをLLMセキュリティの最大脅威「LLM01」として分類しており、実際の攻撃成功率は構成次第で50〜84%に達するとされています。
開発者セキュリティコミュニティでは「プロンプトインジェクションはOWASP LLM01として最大の脅威——成功率50〜84%」という警告がX上で広く共有され、企業のセキュリティポリシー見直しを促す声が相次ぎました。Hacker Newsでは「AIコーディングアシスタントを使う全開発者が潜在的な標的」として、AIツールのセキュリティレビューをCI/CDパイプラインに組み込む手法を共有するスレッドが上位入りしています。r/programmingでは「AI生成コードの78%に検出困難な脆弱性が含まれる」という統計が議論の出発点となり、コードレビューへのAI依存を見直すべきかの議論が活発化しました。
IDEsasterが明らかにしたのは、AIコーディングアシスタントが開発ワークフローに深く統合された現在、プロンプトインジェクションが開発環境全体を攻撃する新たな侵入経路になりうるという事実です。各社が対応パッチを順次公開する見通しですが、LLMが命令とデータを根本的に区別できないという構造的な問題が解決されない限り、同様の脅威は形を変えて繰り返されると考えられます。