何が起きたか
Virginia Tech、AI Security Company London、およびUniversity of Texasの研究者は『GitInject』(arXiv 2606.09935、2026年6月7日提出)を発表しました。これは、ライブGitHubリポジトリをプロビジョニングし、実際のCI/CDワークフロー実行をトリガーしてプロンプトインジェクションを評価するオープンソースフレームワークです。4つのAIプロバイダー全体でClaude Code Action、Codex Action、およびGemini CLI Actionをテストした結果、構成ファイルインジェクション、認証情報の流出、判断操作、可用性攻撃を含む11の名付けられた攻撃を文書化しました。すべてのプロバイダーがデフォルト設定で少なくとも1つの攻撃クラスに対して脆弱でした。
なぜ重要か
この研究は、AI CI/CDエージェントが「致命的な三位一体」(プライベートデータへのアクセス、信頼されていないコンテンツの取り込み、外部通信)で動作すること、また構成ファイルインジェクション(攻撃者がPRブランチにCLAUDE.mdまたはAGENTS.mdを追加する場合)がPRコンテンツの前にエージェントがそれを権限のあるオペレーターレベルの命令として読み込むため、最も危険なベクトルであることを示しています。これはAI CI/CDセキュリティの初の体系的な実環境(シミュレーションではない)研究であり、最小費用の対策手段を確立し、防御者のための再利用可能なツール提供しています。
必要な対応
セキュリティチームは、自社のAI搭載CI/CDワークフローに対して即座にGitInjectを実行する必要があります。最低限、CLAUDE.md/AGENTS.mdファイルをロードできるブランチを制限し、フォークコントリビューターからのPRイベント用にGITHUB_TOKENのアクセス権を読み取り専用に強制する必要があります。