詳細を読む
2026年3月から4月にかけて、Codex、Claude Code、Copilot、Vertex AIの主要AIコーディングエージェント4製品に対し、6つの研究チームがセキュリティ脆弱性を相次いで公開しました。いずれの攻撃もAIモデルの出力ではなく、エージェントが保持する認証情報を標的としており、従来のIAM(ID・アクセス管理)では検知できない新たな攻撃パターンが浮き彫りになっています。
BeyondTrustの研究者は、OpenAI CodexがGitHubリポジトリのクローン時にOAuthトークンをURLに埋め込んでいることを発見しました。ブランチ名にコマンドインジェクションを仕込み、Unicode全角スペース94文字で偽装することでトークンを平文で窃取できる状態でした。OpenAIはこれを最高深刻度P1に分類し、2026年2月5日に修正を完了しています。
AnthropicのClaude Codeでは3件の脆弱性が見つかりました。CVE-2026-25723はパイプ処理によるサンドボックス脱出、CVE-2026-33068は設定ファイルによる信頼ダイアログの迂回、そしてAdversaが発見した50サブコマンド超過時のdeny-rule無効化です。Anthropicのエンジニアは処理速度を優先し、50個目以降のサブコマンドのチェックを省略していました。いずれもパッチ済みです。
GitHubのCopilotに対しては、プルリクエスト説明文やGitHub Issueに隠された指示でリモートコード実行が可能でした。Vertex AIでは、デフォルトのサービスアカウント権限がGmail、Drive、Cloud Storage全バケットに及び、Googleの内部Artifact Registryにもアクセスできる状態でした。CrowdStrike CTOのElia Zaitsev氏は、エージェントのIDを人間のIDに紐づけるべきだと主張しています。
セキュリティ専門家は、企業がAIコーディングエージェントのID・認証情報を棚卸しし、PAM(特権アクセス管理)と同等のガバナンスを適用する必要があると警告しています。Graviteeの2026年調査によると、エージェントのOAuth認証情報をPAMに統合している企業はわずか21.9%にとどまっています。ブランチ名やPR説明文を含むすべての入力を信頼しない前提で扱い、エージェント固有のID管理体制の構築が急務です。