技術的な説明
Adversa AIはSymJackを公開しました。これは悪意あるリポジトリに無害に見えるように名前を変更された偽装シンボリックリンクが含まれる新しいエージェント攻撃クラスです。cpコマンドを使用してペイロードがエージェントの設定に静かに挿入され、悪意あるMCPサーバーが登録されます。開発者の承認プロンプトには、無実の見た目のファイルコピーリクエストのみが表示され、設定ディレクトリや実行可能なコンテンツについては言及されません。次のエージェント再起動時に、植え込まれたサーバーが起動し、攻撃者のコードがユーザーとして実行されます(サンドボックス化されていない)。この攻撃はClaude Code、Cursor、Gemini CLI(Antigravity CLI)、GitHub Copilot CLI、およびGrok Build CLIに対して確認されました。
攻撃経路
攻撃者がコーディングエージェントリポジトリ(または依存リポジトリ)を制御します。特別に細工された命令ファイルにはcpコマンドが含まれており、これが偽装シンボリックリンクをエージェントのMCP設定ディレクトリに解決します。開発者が無害に見えるリクエストを承認すると、エージェントはさらなるプロンプトなしに悪意あるMCPサーバー設定をインストールします。CIパイプラインでは、影響範囲はランナーがアクセス可能なすべてのシークレット、トークン、およびOIDC認証情報に拡大し、さらなるユーザーインタラクションなしでサプライチェーン攻撃が可能になります。
影響を受けるシステム
公開時点で確認された5つの主要なAIコーディングエージェントCLI:Claude Code(Anthropic)、Cursor Agent CLI、Gemini CLI / Antigravity CLI(Google)、GitHub Copilot CLI、Grok Build CLI(xAI)。Anthropicはその後、承認プロンプトを表示する前にシンボリックリンクを解決するようにClaude Codeを強化しました。SecurityWeekの報道時点では、Cursor、Google、xAI、およびGitHubは完全に対応していませんでした。
緩和策
Claude Codeの場合:シンボリックリンクを承認プロンプト前に解決するバージョンに更新してください。他のすべてのエージェントの場合:エージェント生成命令内のすべてのcpまたはファイル移動コマンドを潜在的に危険なものとして扱い、承認前に実際の宛先パスを検査してください。組織は署名されたツールマニフェストを要求し、エージェントの設定ディレクトリへのアクセスを制限する必要があります。CIパイプラインは、シークレットアクセスを最小限にした隔離された環境で実行する必要があります。