何が起きたか
Eclipse Theia 1.71.0より前のバージョン (CVSS 8.4 HIGH、2026年6月18日公開NVD) では、AIチャットエージェントがワークスペースのファイルおよびディレクトリ名をシステム命令と区別することなくプロンプトコンテキストの一部として処理していました。攻撃者は悪意のあるディレクトリ名またはファイル名を含むリポジトリを作成でき、リポジトリをTheia AIエージェントで開いて分析すると、攻撃者が制御する命令をモデルのコンテキストに注入されます。これはファイルシステムを通じた古典的な間接プロンプトインジェクションです。
なぜ重要か
これはリポジトリ経由のプロンプトインジェクション攻撃です。開発者が悪意のあるリポジトリをクローンし、Thieaで開くと、AIエージェントのシステムプロンプトが悪意のあるファイル名によって静かに汚染されます。その後、エージェントはコードを流出させたり、悪意のあるツール呼び出しを実行したり、誤解を招くガイダンスを提供したりする可能性があります。すべて開発者への目に見える警告なしに行われます。ThieaのAIツール呼び出し機能と組み合わせると、これはコード実行またはデータ流出を達成する可能性があります。
攻撃経路
攻撃者はプロンプトインジェクションペイロードを含むファイルまたはディレクトリ名を持つリポジトリを作成します。開発者がEclipse ThieaでリポジトリをオープンしてAIチャットエージェントを使用すると (ワークスペースファイル名をコンテキストに含む)、注入された命令は信頼されるシステムガイダンスとして処理されます。
影響を受けるシステム
Eclipse Theia < 1.71.0
緩和策
Eclipse Theia 1.71.0以降にアップグレードしてください。CVE割り当てを参照: https://gitlab.eclipse.org/security/cve-assignment/-/work_items/113