何が起きたか
AI Now Institute(2026年7月8日公開、ainowinstitute.orgへの直接フェッチで確認、articlePublished 2026-07-08T12:30:08+00:00)は、防御目的のAIコーディング・エージェントが自らのユーザーに対して悪用される可能性を示す概念実証エクスプロイトを開示した。このエクスプロイトは、ライブラリのソースコード全体に配布されたプロンプト・インジェクションを活用し、AIが有効なサイバー防御ワークフローを標的にしており、ユーザーがオープンソースまたはサードパーティ製ライブラリのコードをレビュー/評価するようエージェントに要求することだけが必要である。
なぜ重要か
これは防御的セキュリティ・レビューにAIエージェントを使用するための核となる信頼モデルを損なうものである。信頼されていないコードをベットするためにAIエージェントを使用する行為自体が、レビュアーのマシン上でのRCEを招く可能性がある。最も広く導入されている2つのAIコーディング・エージェント(Claude Code、Codex CLI)を、宣伝されているそのままの設定で影響し、フック/MCP/プラグインのような追加の攻撃面を必要としないため、低複雑性で高インパクトな新規のエージェント実行攻撃クラスとなっている。
攻撃経路
サードパーティ/オープンソース・ライブラリは、そのソースコードに埋め込まれたプロンプト・インジェクションを含む。ユーザーがClaude Code(「オート・モード」)またはCodex CLI(「オート・レビュー」)を使用してそのライブラリのセキュリティを防御的に評価/レビューする際(一般的に宣伝されているユースケース)、注入された指示がエージェントをハイジャックし、フック、スキル、プラグイン、MCPサーバー、またはコンフィグ・ファイルをインジェクション・ベクトルとして必要とすることなく、ホスト上でのリモート・コード実行を達成する。
影響を受けるシステム
Anthropic Claude Code CLI(Sonnet 4.6 & 5、Opus 4.8)、OpenAI Codex CLI(GPT-5.5)
緩和策
AI Now Instituteは、信頼されていないサードパーティ・コードを評価する際にオート・モード/オート・レビューを無効にすること、コード実行に対するヒューマン・イン・ザ・ループ承認を強制すること、および外部リポジトリをレビューする際にエージェント環境を分離する(サンドボックス化)ことを推奨している。