脆弱性  ·  2026-07-02

GuardFall — シェル解釈バイパスが10個の11個のオープンソース AI コーディング エージェントをサプライチェーン攻撃に露出

脆弱性High 影響度Global
Adversa AI は 2026年6月30日に GuardFall を公開しました。これは 10 個の 11 個の人気のあるオープンソース AI コーディング コンピューター使用エージェントに影響を与えるシェルガード バイパスの構造的クラスです。根本原因は、エージェントが未処理のコマンド テキストを検証し、bash がそれを後で展開と置換を通じて書き直すため、正規表現ベースのブロックリストが効果的ではないことです。SecurityWeek と The Hacker News はどちらも 2026年6月30日~7月1日に開示をカバーしました。エンドツーエンドの悪用が Plandex に対して実証されました。野生でのエクスプロイテーションは報告されていませんが、まだ CVE は割り当てられていません。
AI コーディング エージェントは開発者のフルアカウント権限で実行されます。1 つの毒化されたリポジトリ ファイル(README、Makefile、MCP レスポンス、またはパッケージ メタデータ)は、これをクローンして脆弱なエージェントを実行する任意の開発者から SSH キーとクラウド認証情報を無言で流出させることができます。10 個の 11 個の主要なツールが影響を受け、何百万人の開発者が AI コーディング エージェントを採用している場合、サプライチェーン爆発半径は膨大です。
エージェントは未処理のコマンド文字列をセーフティ ブロックリストに対して検査し、その後コマンドを bash に渡します。Bash は引用符除去、$IFS 展開、コマンド置換、およびエンコードされたパイプライン(エージェントのセーフティ チェックで考慮されていなかった数十年前のシェル トリック)を通じて文字列を書き直します。Adversa AI(GuardFall 開示、2026年6月30日)は本番 Plandex バイナリに対するエンドツーエンドのエクスプロイテーションを実証しました。リポジトリ ファイル内の毒化されたコンテンツは、エージェントが SSH キー、クラウド認証情報、および $HOME ファイルを流出させる難読化されたコマンドを発出するようにトリガーします。
Hermes、opencode、Goose、Cline、Roo-Code、Aider、Plandex、Open Interpreter、OpenHands、SWE-agent(調査された 11 個のうち 10 個)。Continue は唯一の実質的に軽減されたエージェントです。
影響を受けたエージェントで自動実行機能を無効にする。$HOME をアイソレートまたはリダイレクトする。フォークされたプルリクエストでエージェントを実行しない。リポジトリ出荷設定を監査する。正規表現/未処理文字列ブロックリストではなく、トークン化と正規化コマンド実行(構造的解析)を採用する。Adversa AI ブログと個別エージェント チェンジログでパッチを監視する:https://adversa.ai/blog/opensource-ai-coding-agents-shell-injection-vulnerability
出典
Adversa AI — GuardFall AI Coding Agents Shell Injection VulnerabilitySecurityWeek — Decades-Old Bash Tricks Expose AI Coding Agents to Supply Chain Attacks (Jun 30 2026)The Hacker News — GuardFall Exposes Open-Source AI Coding Agents to Decades-Old Shell Injection Risks
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →