詳細を読む
ジョンズ・ホプキンス大学の研究者らが、AIコーディングエージェント3製品にプロンプトインジェクションによる秘密鍵窃取の脆弱性を発見し、「Comment and Control」として公開しました。GitHubのプルリクエスト題名に悪意ある命令を埋め込むだけで、AnthropicのClaude Code Security Review、GoogleのGemini CLI Action、GitHubのCopilot Agentがそれぞれ自身のAPIキーをPRコメントとして投稿してしまう問題です。
攻撃の核心は、AIエージェントがPR題名やコメントなどの未信頼入力を命令として解釈する点にあります。エージェントはコードレビュー用途にもかかわらずbash実行やAPI書き込み権限を持っており、環境変数から読み取った秘密鍵をGitHub API経由で外部に送信できました。外部の攻撃インフラは一切不要で、GitHubのプラットフォーム自体がデータ流出経路となりました。
AnthropicはCVSS 9.4 Criticalと分類し100ドルの報奨金を支払い、Googleは1,337ドル、GitHubは500ドルを支払いました。3社とも修正パッチを適用しましたが、いずれもCVEを発行しておらず、セキュリティアドバイザリも公開していません。脆弱性スキャナやSIEMには何も検出されない状態が続いています。
記事は各社のシステムカードの開示水準を比較しています。Anthropicは232ページにわたり注入耐性の定量データを公開する一方、OpenAIはモデル層の評価のみでエージェント実行時の耐性データを未公開、Googleは数ページの概要にとどまります。モデルの安全性フィルタはテキスト生成を制御しますが、bash実行やAPIコールといったエージェント操作は評価対象外です。
セキュリティ専門家は、CI/CD環境でのAIエージェント権限の最小化、短命OIDCトークンへの移行、サプライチェーンリスク台帳への「AIエージェント実行時」カテゴリ追加を推奨しています。特定ベンダーではなくエージェント設計全体に共通するリスクであり、EU AI法の高リスク準拠期限である2026年8月までに、各社の注入耐性データの開示を求めるべきだと指摘しています。