何が起きたか
Adversa AIは2026年6月30日に「GuardFall」を開示しました (SecurityWeekカバレッジが日付を確認)。オープンソースAIコーディングエージェント内の構造的欠陥であり、数十年前のBashトリック (クォート削除、$IFS操作、同様のシェルメタ文字技術) がエージェントの入力サニタイゼーション対策をバイパスします。リポジトリに埋め込まれた悪意あるBash命令 (たとえば、Makefile、.envファイル、READMEなど) はエージェントによって取り込まれ、開発者の完全なアカウント権限でシェル実行に渡されます。テストされた11個中10個のエージェント (Hermes、OpenCode、Roo-codeを含む) は少なくとも1つのBashトリックで失敗しました。1つのエージェントのみがテストされたすべての技術をブロックしました。
なぜ重要か
AIコーディングエージェントは通常、開発者レベルのファイルシステムおよびシェルアクセスで実行されます。作成されたシェルペイロードを含む悪意あるリポジトリは、エージェントが処理する際に静かに任意のコードを実行できます。これにより、すべての信頼されていないリポジトリが潜在的なサプライチェーン攻撃ベクトルになります。これらのエージェントはCI/CDパイプラインでも使用されるため、影響範囲は自動ビルドおよびデプロイメントインフラストラクチャまで拡大します。
攻撃経路
攻撃者は、クォート削除、$IFSスペーシング、またはその他のシェル展開トリックを使用して、作成されたBashペイロードをリポジトリファイルに埋め込みます。AIコーディングエージェントがリポジトリを処理する際、ペイロードはエージェントのホワイトリスト/ブラックリスト対策をバイパスし、オペレーターの特権を持つエージェントのシェルコンテキストで実行されます。
影響を受けるシステム
Adversa AIによってテストされた複数のオープンソースAIコーディングエージェント (Hermes、OpenCode、Roo-code、および8その他) — 2026年6月30日現在のバージョン。1つのみがすべてのテストに合格しました。
緩和策
影響を受ける各エージェントのベンダー固有のパッチを確認してください。エージェント実行環境で最小権限の原則を適用してください。可能な限りエージェントをネットワークとファイルシステムからサンドボックス化してください。エージェントプロセスからの予期しないシェル生成を監視してください。