Amazon、Anthropic、Google、Cursorなどに影響したこの欠陥は、AIエージェントが人間に虚偽の情報を提示し、誤った判断を下させることを可能にしていました。
サイバーセキュリティ研究企業Wizによると、AI開発ツールに存在するセキュリティホールを悪用すれば、攻撃者はサンドボックスから脱出できてしまうといいます。本来であれば、ツールの動作を承認する役割を担う人間を欺くことで、これが可能になっていました。
「私たちはGhostApprovalと名付けた、体系的な脆弱性パターンを発見しました。これは主要なAIコーディングアシスタントのうち6製品、すなわちAmazon Q Developer、Anthropic Claude Code、Augment、Cursor、Google Antigravity、そしてWindsurf[現在はDevin Desktopという名称]に影響を及ぼしていました」とWizのレポートは述べています。「いずれのケースでも、悪意あるリポジトリを使えばエージェントを騙し、ワークスペースのサンドボックス外にある任意のファイルにアクセスさせることが可能で、開発者のマシン上でリモートコード実行を達成できる可能性があります」。
この脆弱性に関する最初の報告は今月初め、Cato Networksから出されていましたが、その時点ではCursorという単一プラットフォームに限定された話でした。しかしWizの調査により、影響範囲がはるかに広いことが判明しました。
今回の根本的なセキュリティ問題であるシンボリックリンク(シムリンク)は、よく知られた仕組みであり、何十年も前から攻撃手法として利用されてきました。しかしWizが指摘するように、GhostApprovalはその従来の攻撃ベクトルとしての使われ方をはるかに超えるものだといいます。
シンボリックリンクとは、他のファイルやディレクトリへのショートカットとして機能する特殊なファイルです。攻撃においては通常、意図した制御範囲の外にあるターゲットを指すよう仕向けられます。これにより脅威アクターは、制御が及ばない、あるいは制御の緩い環境下——安全なサンドボックスの外、あるいはエアギャップされたシステムの中であっても——許可されていないファイルを操作できるようになります。
Wizは次のように指摘しています。「いくつかのケースでは、エージェントの内部的な推論過程では危険なターゲットであると明確に認識しているにもかかわらず、ユーザーに表示される確認プロンプトではその情報が完全に隠されていました。これはCWE-451――重要情報のUI上での誤表示――が、シンボリックリンクの脆弱性に重ねて存在している状態です。ユーザーは、無害なローカル編集だと思い込んで承認しますが、実際にはエージェントがプロジェクトのワークスペース外にある機密ファイルへ書き込みを行っています」。
Wizによると、当初影響が確認された6社のベンダーにこの問題を報告したところ、AWS、Cursor、Googleは「迅速に修正した」一方、AugmentとWindsurf/Devinは「受領確認をしたものの、その後音沙汰がなかった」といいます。Anthropicについては、Wizが連絡する前に既に問題を修正済みでした。
潜在的に甚大な影響範囲
しかしアナリストやコンサルタントたちは、Wizが説明したAI開発ツールの問題は、はるかに大きなセキュリティリスクを浮き彫りにしていると指摘します。それは、企業がこれらのツールやそこから報告される情報を過度に信頼しすぎているという問題であり、まさにそこに攻撃者にとっての大きな好機が生まれているというのです。
IDCでDevSecOps担当シニアリサーチマネージャーを務めるケイティ・ノートン(Katie Norton)氏は、Wizのレポートが不穏な事実を指摘していると述べます。「人々がこうした行動を捕捉するために頼っている安全確認の仕組みが、実際には何も止めていないのです。これは攻撃者が開発者のマシンに侵入する現実的な手段になり得ます」と同氏。「ただし影響範囲は一つの条件によって限定されます。攻撃が成立するためには、開発者が信頼できない、あるいは悪意あるリポジトリをクローンして操作する必要があるのです。そのためリスクは、外部の協力者、フォークされたリポジトリ、サードパーティ製やオープンソースの依存関係が関わるワークフローに集中し、社内で作成されたコードそのものに集中するわけではありません」。
ノートン氏によれば、この欠陥、そして他のAI開発ツールに見られる同様の脆弱性による影響範囲は、潜在的に甚大だといいます。「2025年3月以降、セキュリティベンダーや研究者たちは、主要なAIコーディングアシスタントのほぼすべてで同様の問題を明らかにしてきました。そのパターンとは、緩和策が実装されても、その同じ緩和策を回避する新たな手法が数か月以内に浮上する、というものです。これは注視すべき現象であり、このカテゴリー全体における脅威モデルがいかに未成熟であるかを反映しています。特定のベンダーの取り組みに限った問題ではありません」。
これはつまり、エージェント型のコーディングツールには多層防御が必要だということだと同氏は述べます。リスクはエージェントが生成するコードだけに限定されないからです。「ツール自体がソフトウェアサプライチェーンの中に位置しており、直接攻撃の対象になり得ます。GhostApprovalはその点を明確に示しています」と同氏は指摘します。
「この脆弱性は、コードの品質や安全でない出力とは何の関係もありません。これはエージェントがファイルをどう扱い、自らの行動をユーザーにどう表現するかという部分の欠陥であり、悪質なプロンプトや侵害された依存関係によるものではなく、ツールの設計そのものに起因しています。コーディングツール自体の攻撃対象領域を考慮できていないことが、こうした種類の抜け穴を放置する原因になっているのです」。
ポリシーと運用手順の見直しを
Digital 520のプリンシパルコンサルタントであるノア・ケニー(Noah Kenney)氏も同様の見解を示しており、企業のCISOはAI開発ツールに関するポリシーや運用手順の多くを、根本から見直す必要があるかもしれないと述べています。
「重要なのは、エージェント自身の推論プロセスが悪意あるターゲットを識別していたにもかかわらず、承認ダイアログはそれを隠してしまったという点です。ツールはSSHキーへの書き込みを行っていると認識していながら、それでもなお設定ファイルの編集について人間に承認を求めていました。これは人間に、モデルを制御しているという幻想を与えるものです」とケニー氏。「多くの人は、人間による確認(human in the loop)こそがエージェントのリスクに対する答えだと考えてきましたが、今回のレポートは、その確認プロセス自体が、本来監視されるべきエージェントによって誤った情報を与えられかねないことを示しています」。
こうした事情から、ケニー氏はツール管理の運用方法を見直すよう助言しています。
「AIコーディングアシスタントは、エディタのプラグインとしてではなく、ファイルシステムへのアクセス権を持つ特権的なソフトウェアとして扱うべきです。つまり、パッチ適用の規律、バージョンの固定、そして環境内のどのツールがディスクに書き込みを行うのかを、権限付与の前に把握しておく必要があります」とケニー氏は述べます。「その上で、被害範囲をサンドボックス化してください。こうしたエージェントは、信頼できるリポジトリに対してのみ、隔離された環境の中で動作させるべきです。そうすればauthorized_keysへの書き込みが発生しても、実害には至りません。ツール自身が表示するダイアログを、制御やガバナンスの手段として頼ってはいけません」。
カテゴリー全体に及ぶ設計上の課題
コンサルティング企業Acceligenceの最高経営責任者(CEO)であるジャスティン・グレイス(Justin Greis)氏は、このセキュリティホールが、ほとんどのCISOが認識している以上に、企業のセキュリティ戦略全体に関わる大きな問題であると付け加えています。
「6社もの異なるベンダーが、それぞれ独立して非常に似通った信頼モデルに行き着いたという事実は、これが個別の実装バグの寄せ集めではなく、カテゴリー全体にまたがる設計上の課題であることを示唆しています。もしこうした脆弱性が修正されないまま残されていれば、それは企業にとって看過できないリスクとなるでしょう。特に、AIコーディングアシスタントが信頼できないリポジトリや本番の開発環境とやり取りすることを許可している組織にとっては、なおさらです」と同氏は述べています。
「直近の懸念は、単なるリモートコード実行にとどまりません。問題は、こうしたエージェントが従来のIDE拡張機能では持ち得なかったレベルのファイルシステムアクセス権、ツールアクセス権、そして開発者からの信頼を得て動作しているという点です。AIエージェントがソフトウェア開発の能動的な参加者となった瞬間から、そのエージェントが越えるすべての信頼境界が、組織の攻撃対象領域の一部になってしまうのです」。