技術的な説明
セキュリティ研究者らは、GitHub Actionsと統合されたAIコーディングエージェントをハイジャックする「コメント・アンド・コントロール」と呼ばれるプロンプトインジェクション攻撃のクラスを開示しました。PRタイトル、issueの本文、またはissueコメント(レンダリングされたMarkdownで見えない隠されたHTMLコメントを含む)に悪意のある指示を埋め込むことで、攻撃者はAIエージェントをリダイレクトしてAPIキーとアクセストークンを流出させることができます。3つの主要なAIコーディングエージェント——AnthropicのClaude Code Security Review、GoogleのGemini CLI Action、およびMicrosoftのGitHub Copilot——すべてが脆弱性を確認されました。バグ報奨金が支払われた(Anthropicが$100、Googleが$1,337)ものの、どのベンダーもCVEを割り当てたり公開セキュリティアドバイザリを公開したりしなかったため、ユーザーは認識なく脆弱なバージョンに固定されています。
攻撃経路
GitHubリポジトリへの書き込みアクセス権を持つ攻撃者(またはPRを送信できる攻撃者)は、PRタイトル、issueの本文、または見えないHTMLコメントにプロンプトインジェクションペイロードを埋め込みます。AIコーディングエージェントが自動化されたワークフローの一部としてリポジトリコンテンツを処理する際、注入された指示を解釈し、秘密情報(APIキー、アクセストークン)を攻撃者が制御する場所(公開issueコメントや外部エンドポイントなど)に流出させます。
影響を受けるシステム
Anthropic Claude Code Security Review(GitHub Action)、Google Gemini CLI Action、Microsoft GitHub Copilot Agent——すべてGitHub Actions自動化ワークフロー内で動作する場合
緩和策
AIエージェントワークフローのトリガーを信頼できるコントリビューターのみに制限してください。AIエージェント統合のためにGitHub Actionsワークフローを監査し、それらのランナーがアクセス可能な秘密情報を確認してください。自動化されたアクターによる異常なissueコメント作成を監視してください。公式パッチまたはアドバイザリが公開されるまで、公開またはコントリビューターがアクセス可能なリポジトリで自動化されたAIコードレビュートリガーを無効にすることを検討してください。各ベンダーのchangelogおよびセキュリティドキュメンテーションページで更新を確認してください。