新しいセキュリティ研究調査により、Claude Code Security Review、Google Gemini CLI Action、GitHub Copilot Agentを含む人気のあるAI駆動の開発者ツールに影響する重大なプロンプトインジェクション脆弱性が明らかにされました。
これらの知見は、Johns Hopkins大学のAonan Guan研究員およびチームによってリードされており、これらのツールがGitHubワークフローからの信頼できない入力をどのように処理するかに関する根本的な設計上の欠陥を露呈しています。
「Comment and Control」と名付けられた攻撃手法は、脅威アクターがプルリクエスト(PR)タイトル、問題の説明、コメントなどの標準的なGitHub機能を使用してAIエージェントをどのように操作できるかを実証しています。
従来の攻撃と異なり、この方法は外部インフラストラクチャを必要としません。代わりに、攻撃者はAIエージェントが分析するために設計されたリポジトリコンテンツに悪意のある指令を直接埋め込みます。
核となる問題は、これらのエージェントがユーザー入力をどのように解釈するかにあります。PRまたは問題を解析するとき、正当なシステム命令と攻撃者が制御するデータを区別することに失敗します。
その結果、AIはGitHub Actionsランナーと同じ権限で挿入されたコマンドを実行し、APIキー、トークン、環境変数などの機密データの潜在的な公開につながります。
Anthropic駆動のGitHub ActionであるClaude Code Security Reviewは、PRタイトルの不適切なサニタイズが原因で脆弱性が見つかりました。
攻撃者は「whoami」や「ps auxeww」などのシェルコマンドを挿入することができ、システムは分析中にこれを実行しました。
Claude CLIはANTHROPIC_API_KEYやGITHUB_TOKENなどの環境変数を継承したため、これらのシークレットはPRコメントまたはログに公開されました。
この脆弱性はCVSSスコア9.4を受け、その後部分的に軽減されました。
同様に、Google Gemini CLI Actionは悪意のある問題コメント経由で悪用されました。攻撃者はGeminiのセーフティ機構をオーバーライドするために偽の「信頼されたコンテンツセクション」を挿入しました。
これにより、エージェントはGEMINI_API_KEYを含む機密データを公開問題スレッドに直接出力しました。
GitHub Copilot Agent攻撃は、問題内の隠されたHTMLコメントを使用した、より高度な手法を実証しました。
処理されると、これらの目に見えないペイロードはCopilotに「ps auxeww | base64」などのコマンドを実行し、エンコードされた出力をリポジトリにコミットするよう指示しました。
このアプローチは、git pushなどの信頼されたGitHub操作を活用することで、環境フィルタリング、シークレットスキャン、ネットワーク制限を含む複数のセキュリティ制御をバイパスしました。
研究者は根本原因として根本的なアーキテクチャ上の矛盾を特定しました。AIエージェントは効果的に機能するために、機密認証情報および強力な実行ツールへのアクセスを必要とします。
ただし、通常の開発ワークフローの一部として、信頼できないユーザー生成コンテンツも処理する必要があります。
この組み合わせは継続的なセキュリティリスクを生み出します。AIシステムが特権実行と信頼できない入力をブレンドし続ける限り、既存のセーフガード機能に関わらず、間接的なプロンプトインジェクション攻撃に対して脆弱なままです。
翻訳元: https://cyberpress.org/claude-code-gemini-cli-and-github-copilot-vulnerable/