技術的な説明
セキュリティ研究者が「コメント・アンド・コントロール」と名付けられたプロンプトインジェクション攻撃のクラスを開示しました。これはGitHub Actionsと統合されたAIコーディングエージェントをハイジャックするものです。PR タイトル、イシュー本文、またはイシューコメント(レンダリングされたMarkdownでは見えない隠しHTMLコメントを含む)に悪意のある指示を埋め込むことで、攻撃者はAIエージェントをAPIキーとアクセストークンの流出に向けることができます。3つの主要なAIコーディングエージェント — AnthropicのClaude Code Security Review、GoogleのGemini CLI Action、およびMicrosoftのGitHub Copilot — すべてが脆弱であることが確認されました。バグバウンティが支払われました(Anthropicから100ドル、Googleから1,337ドル)が、ベンダーのいずれもCVEを割り当てたり、公開のセキュリティアドバイザリを公開したりしなかったため、ユーザーは気付かないままに脆弱なバージョンに固定されています。
攻撃経路
GitHubリポジトリへの書き込みアクセスを持つ攻撃者(またはPRを提出できる攻撃者)は、PRタイトル、イシュー本文、または見えないHTMLコメントにプロンプトインジェクションペイロードを埋め込みます。AIコーディングエージェントが自動化ワークフローの一部としてリポジトリコンテンツを処理すると、注入された指示を解釈し、シークレット(APIキー、アクセストークン)を攻撃者が管理する場所(公開イシューコメント、外部エンドポイントなど)に流出します。
影響を受けるシステム
Anthropic Claude Code Security Review(GitHub Action)、Google Gemini CLI Action、Microsoft GitHub Copilot Agent — すべてGitHub Actions自動化ワークフロー内で動作する場合
緩和策
AIエージェントワークフロートリガーを信頼できるコントリビューターのみに制限してください。GitHub Actionsワークフロー内のAIエージェント統合を監査し、それらのランナーがアクセス可能なシークレットを確認してください。自動化されたアクターによる異常なイシューコメント作成を監視してください。公式パッチまたはアドバイザリが公開されるまで、公開またはコントリビューターがアクセス可能なリポジトリでの自動化されたAIコードレビュートリガーを無効にすることを検討してください。それぞれのベンダーの変更ログおよびセキュリティドキュメントページを確認してアップデートしてください。