GitHubのAIコーディングアシスタント「Copilot」において、プルリクエスト(PR)の説明文に仕込まれた隠れたプロンプトインジェクションを通じてリモートコード実行(RCE)が可能になる脆弱性が発見されました。共通脆弱性評価システム(CVSS)スコアは9.6と極めて深刻で、AIコーディングアシスタントの信頼モデルへの根本的な見直しを迫る事例となっています。
この脆弱性の本質は、GitHub Copilotが信頼している「PRの説明文」という入力を攻撃者が制御できる点にあります。悪意のあるコントリビューターや侵害されたリポジトリのフォークを経由して、開発者のマシン上で任意のコードを実行させることが可能です。ソースコードを読んでアドバイスするはずのAIが、コードを「実行させる兵器」に変わってしまうという、従来のセキュリティモデルでは想定外の攻撃経路です。
Microsoftのセキュリティブログによると、この脆弱性はAIエージェントフレームワーク全体に共通する設計上の課題を示すものとされています。AIが外部のデータ(ウェブページ、ドキュメント、PRの説明文など)を読み込み、それに基づいてアクションを実行する仕組みは本質的にこの種のリスクを内包しています。特にCopilotのようなIDEとの深い統合を持つツールでは、コード実行権限と外部データの読み込みが組み合わさることで影響範囲が広がります。
X(旧Twitter)では「PR説明文からRCEとは恐ろしい。AIコーディングアシスタントの信頼モデルを根本から再考する必要がある」という声が広まりました。Redditのr/netsecでは「CVSS 9.6は深刻。AIエージェントのサンドボックス分離がいかに重要かを改めて示した事例」と評価されています。Hacker Newsでは「Copilot利用企業は即パッチ確認を。フォーク・PRレビューフローのセキュリティ全般見直しが必要」という実践的な警告が注目を集めています。
GitHub Copilotや同様のAIコーディングツールを利用している開発組織は、最新パッチの適用を確認するとともに、外部リポジトリのフォークやPRを扱うワークフロー全体のセキュリティを見直す必要があります。AIが「信頼された入力」として扱うデータソースを明示的に制限するアーキテクチャ設計の重要性が、改めて浮き彫りになりました。