ソフトウェアセキュリティ企業であるAikido Securityの研究者は、大手企業がソフトウェアをビルドする方法を危険にさらす可能性のある新種の脆弱性を報告しました。彼らはこの問題を「PromptPwnd」と名付けており、その中心にあるのはプロンプトインジェクションと呼ばれる特定のタイプの攻撃です。ここでは、Gemini、Claude Code、OpenAI CodexのようなAIエージェントが、GitHub ActionsやGitLab CI/CDといった自動化システムの内部で利用されています。
なぜAI自動化が突然リスキーになったのか
参考までに、これらの自動化されたCI/CDパイプラインは、バグレポートの管理などのタスクを高速化するためにAIを利用しています。脆弱性は、AIエージェントが外部のテキスト(バグレポートのタイトルなど)を受け取るところから始まります。攻撃者はそのテキストに秘密の指示を紛れ込ませることができるのです。このテクニックはプロンプトインジェクションと呼ばれ、AIエージェントを混乱させ、攻撃者のテキストを直接のコマンドと誤認させて特権ツールを実行させます。
このように、信頼できないテキストをAIのプロンプトに注入する単純なパターンによって、攻撃者はセキュリティキーを盗んだり、コードワークフローを改ざんしたりできます。この新たな脆弱性は、こうした自動化システムに依存することが裏目に出る可能性を示しており、同じシステムが最近Shai-Hulud 2.0のような攻撃の標的にもなっていたことを踏まえると、なおさら深刻です。
Aikido Securityは、この脆弱性パターンを最初に特定し、すべてのセキュリティベンダーや組織が自らのコード内でこの欠陥を追跡できるよう、Opengrepルールを即座にオープンソース化しました。
実在の企業が被害にさらされていた
Aikido Securityは、少なくとも5社のフォーチュン500企業でこの露出を確認しており、さらに多くの企業がリスクにさらされていると考えています。Hackread.comと共有されたブログ記事の中で、研究者たちはこの攻撃チェーンが「実用的で、再現可能であり、すでに実際のGitHub Actionsワークフローの中に存在している」と確認しました。
注目すべきケースとして、Google自身のGemini CLIリポジトリが影響を受けていました。GoogleはAikido Securityからの責任ある情報共有を受けて迅速に対応し、4日以内に問題を修正しました。これは、AIプロンプトインジェクションが重要なソフトウェアパイプラインを直接破壊し得ることを示す、初めて確認された証拠の一つである点は特筆に値します。
同様のリスクは、Claude Code ActionsやOpenAI Codex Actionsといった他の人気AIツールにも見つかりました。これらのツールには(特定のユーザー権限を必要とするなどの)安全ルールが組み込まれていますが、研究者たちは、企業が単純な設定変更でこれらのルールを無効化してしまうと、外部の攻撃者が非常に重要なGITHUB_TOKENを盗み出すことが容易になると指摘しています。
このようにリスクが広範に及んでいることから、これらの自動化AIツールを運用しているすべての人に対し、セキュリティ専門家は、AIエージェントがアクセスできる強力なツールを直ちに制限し、信頼できないユーザー入力をAIプロンプトに直接注入しないよう徹底することを強く推奨しています。
翻訳元: https://hackread.com/promptpwnd-vulnerabilit-ai-systems-data-theft/
