プルリクエストの説明文に埋め込まれた隠しプロンプトインジェクションがGitHub Copilotを悪用して遠隔コード実行(RCE)を引き起こす脆弱性CVE-2025-53773が公開されました。CVSSスコアは9.6と最高危険度クラスに分類されており、AIコードアシスタントがソフトウェアサプライチェーン攻撃の新たな経路となることを実証した重大事例として業界に衝撃を与えています。
TechTimesによると、この攻撃手法の巧妙な点は「人間には見えにくい形でPRの説明文に悪意ある命令を埋め込む」という点にあります。GitHub Copilotがそのテキストを解析・処理する過程で、埋め込まれた命令がモデルの振る舞いを乗っ取り、攻撃者の意図するコードを実行させることが可能になります。開発者がCopilotの提案を信頼してPRをレビューする通常のワークフロー全体が攻撃対象になるという点で、従来のセキュリティ慣行だけでは防ぎにくい新種の脅威です。
X(旧Twitter)では「Copilotを信頼してPRをマージしていた全員が対象——即座にパッチ確認を」という緊急投稿が広く拡散しました。r/netsecではPoC(概念実証コード)の再現試験や影響範囲の詳細な議論が大量に投稿され、週間トップスレに上り詰めました。Hacker Newsでは「AIアシスタントの信頼境界が根本から壊れている」という構造的批判が多数のupvoteを集め、単なるバグ修正では対処しきれない問題の深刻さを指摘する声が目立ちます。
コードレビューにAIを活用する開発チームはすぐにGitHub公式のセキュリティアドバイザリを確認し、パッチ適用状況を確認することが推奨されます。また、AIアシスタントが処理する外部入力(PR説明文・コメント・Issueなど)を「信頼できないデータ」として扱う設計思想の見直しが、今後のAI組み込み開発環境において不可欠になりそうです。