技術的な説明
Adversa AIはSymJackを開示しました。これは悪意あるリポジトリが無害に見えるように名前を変えたシンボリックリンクを含む新しいエージェント攻撃クラスです。cpコマンドを使用してペイロードをエージェントの設定にサイレント挿入し、悪意あるMCPサーバーを登録します。開発者の承認プロンプトは無害に見えるファイルコピーリクエストのみを表示し、設定ディレクトリや実行可能ファイルについては触れません。次のエージェント再起動時に、植え付けられたサーバーが起動し、攻撃者コードをユーザーとして実行します(サンドボックス化されていません)。この攻撃はClaude Code、Cursor、Gemini CLI (Antigravity CLI)、GitHub Copilot CLI、およびGrok Build CLIに対して確認されました。
攻撃経路
攻撃者はコーディングエージェントリポジトリ(または依存リポジトリ)を制御します。特別に作成された命令ファイルには、偽装されたシンボリックリンクをエージェントのMCP設定ディレクトリに解決するcpコマンドが含まれています。開発者は無害に見えるリクエストを承認し、エージェントは追加プロンプトなしに悪意あるMCPサーバー設定をインストールします。CIパイプラインでは、爆発範囲はランナーがアクセス可能なすべてのシークレット、トークン、およびOIDC認証情報に拡大し、さらなるユーザー操作なしでサプライチェーン攻撃を実現できます。
影響を受けるシステム
開示時点で確認された5つの主要なAIコーディングエージェントCLI:Claude Code (Anthropic)、Cursor Agent CLI、Gemini CLI / Antigravity CLI (Google)、GitHub Copilot CLI、Grok Build CLI (xAI)。Anthropicはその後Claude Codeを強化し、承認プロンプト表示前にシンボリックリンクを解決するようにしました。SecurityWeekの報道時点で、Cursor、Google、xAI、およびGitHubは完全に修復されていません。
緩和策
Claude Codeの場合:シンボリックリンクを承認プロンプト前に解決するバージョンに更新してください。その他すべてのエージェントの場合:エージェント生成命令内のすべてのcpまたはファイル移動コマンドを潜在的に危険なものとして扱い、承認前に実際の宛先パスを検査してください。組織は署名されたツールマニフェストを要求し、設定ディレクトリへのエージェントアクセスを制限すべきです。CIパイプラインは最小限のシークレットアクセスで隔離環境で実行すべきです。