何が起きたか
Virginia Tech、AI Security Company London、およびテキサス大学の研究者らは『GitInject』(arXiv 2606.09935、2026年6月7日投稿)を発表しました。これはプロンプトインジェクションを評価するためにライブGitHubリポジトリをプロビジョニングし、実際のCI/CDワークフロー実行をトリガーするオープンソースフレームワークです。Claude Code Action、Codex Action、およびGemini CLI Actionを4つのAIプロバイダー全体でテストした結果、設定ファイルインジェクション、認証情報の流出、判断操作、および可用性攻撃を含む11の名付けられた攻撃を文書化しました。すべてのプロバイダーはデフォルト構成で少なくとも1つの攻撃クラスに脆弱でした。
なぜ重要か
この研究は、AI CI/CDエージェントが『致命的な三位一体』(プライベートデータへのアクセス、信頼できないコンテンツの取り込み、外部通信)で動作し、攻撃者がPRブランチにCLAUDE.mdまたはAGENTS.mdを追加する設定ファイルインジェクションが最も危険なベクトルであることを実証しています。これはPRコンテンツの前に、エージェントがそれを権限のあるオペレータレベルの命令として読み込むためです。これはAI CI/CDセキュリティの最初の体系的な実環境(シミュレートされていない)研究であり、最低限のコスト対策を確立し、防御者向けの再利用可能なツールを提供しています。
必要な対応
セキュリティチームは自身のAI駆動CI/CDワークフローに対してGitInjectを直ちに実行すべきです。最低限、CLAUDE.md/AGENTS.mdファイルをロードできるブランチを制限し、フォークコントリビューターからのPRイベントに対してGITHUB_TOKENの読み取り専用権限を適用してください。