GitHub Copilotに深刻なセキュリティ脆弱性(CVE-2025-53773)が発見されました。プルリクエスト(PR)の説明文に悪意あるプロンプトを埋め込むことで、GitHub Copilotのエージェント機能を乗っ取り、リモートコード実行(RCE:Remote Code Execution)を引き起こせるというものです。CVSSスコア(脆弱性の深刻度評価基準)は9.6と最高レベルに近く、攻撃者はCopilotの「YOLO mode」を有効化することで無制限のシェルコマンド実行が可能になるとされています。Microsoftは2025年8月のパッチで修正済みと発表しています。
この脆弱性は、AIエージェントがコードリポジトリや外部コンテンツを自律的に処理する「エージェントモード」の設計に起因しています。攻撃者がPR説明文に特定のプロンプトを埋め込むと、Copilotがそれを正当な指示として解釈し、.vscode/settings.jsonを介した攻撃チェーンを経由して任意のシェルコマンドを実行する流れです。r/netsecでは詳細な技術解析スレッドが展開され、この攻撃チェーンの再現デモへのリンクが多数共有されました。
X上ではさらに深刻なシナリオが議論されました。「感染したリポジトリが新規プロジェクトへと自動拡散するワーム型攻撃が可能になる」というシナリオが広まり、開発者コミュニティで大きな衝撃を呼びました。緊急パッチの適用を呼びかける投稿が相次ぎ、特に企業の開発環境でCopilotを使用しているチームに対して早急な対応を求める声が上がりました。
Hacker Newsではセキュリティ研究者から本質的な批判が多くの支持を得ました。「AIエージェントがコードベースに無制限アクセスできる設計そのものに根本的な問題がある」という指摘で、これはCopilotだけに限らず、外部入力を処理しながら環境を変更する権限を持つあらゆるAIエージェントに共通する課題です。間接プロンプトインジェクション(Indirect Prompt Injection)という攻撃手法はAIエージェントが普及するにつれてリスクが増大しており、今回の事例はその深刻さを改めて示しました。Microsoftが脆弱性を修正した今も、AIエージェントのサンドボックス設計と権限分離の重要性という根本的な問いは業界全体の課題として残っています。