GitHub Codespaces 内で重大な脆弱性が発見されました。統合された AI アシスタント Copilot を通じてリポジトリの不正乗っ取りを可能にするものです。RoguePilot と呼称されるこの欠陥は、クラウドベースの開発環境と GitHub Issue コンテンツを処理する自動クエリメカニズムの交差点を危険にさらしています。
Orca Security がこの発見を明らかにしており、GitHub Issue の説明内に悪意あるコマンドを秘密裏に埋め込む攻撃手法の詳細を説明しています。開発者がそのような Issue から直接 Codespace を初期化すると、Copilot は本能的にテキストを応答生成の基盤入力として取り込みます。その結果、AI は侵害の明らかな兆候なしに有害なコマンドを処理します。
専門家はこの手法を間接的なプロンプト注入の典型的なケースと分類しており、言語モデルによって分析される正当なコンテンツ内に悪質なコマンドが偽装されています。このような改ざんはアシスタントに意図された運用範囲を超えて不正な行動を実行させます。研究者はこれを高度なサプライチェーン攻撃として定義しており、AI は無意識の仲介者として機能し、信頼できるワークフローが触媒として作用します。
RoguePilot の特殊性は、Codespaces を起動するための多角的なエントリーポイント(テンプレート、コミット、プルリクエストを含む)から生じていますが、重大な露出は Issue から セッションを開始する場合にのみ発生します。このシナリオでは、Copilot は Issue の説明をプロンプトとして自動的に採用します。攻撃者は HTML コメント内にコマンドを効果的に隠すことができます。これらは標準ユーザーインターフェースでは見えませんが、システムによって厳密に解析されます。
この方法で準備されたコマンドは、Copilot を一連の操作を調整させ、特別に設計されたプルリクエストへの移行に至らせます。このリクエストには内部ファイルへのシンボリックリンクが含まれており、アシスタントはそのファイルの内容を読み込み、リモート JSON スキーマを介して特権を持つ GITHUB_TOKEN を外部サーバーに流出させます。このアクセス権の付与により、攻撃者はリポジトリを完全に支配できるようになります。
これらの発見が公表された後、Microsoft は Codespaces 内のデータ取り込みプロトコルと Copilot の動作ロジックに厳格な修正を実装し、そのような操作を防止しました。Orca Security によると、この悪用は被害者からの積極的な関与を必要とせず、感染した Issue から Codespace を起動する通常の行動だけで成立しました。この開発者の標準的な動作手順への無理のない統合により、この脆弱性の本来のリスクが大幅に高まっています。
