何が起きたか
Eclipse Theia 1.71.0以前のバージョン (CVSS 8.4 HIGH、NVD公開日2026年6月18日) では、AIチャットエージェントはシステム命令と区別せずにワークスペースのファイルおよびディレクトリ名をプロンプトコンテキストの一部として処理していました。攻撃者は悪意のあるリポジトリを細工することができ、敵対的なディレクトリ名またはファイル名を含めることで、Theia AIエージェントによってリポジトリが開かれて分析されるとき、攻撃者が管理する命令をモデルのコンテキストに注入します — ファイルシステムを介した典型的な間接的プロンプトインジェクションです。
なぜ重要か
これはリポジトリ由来のプロンプトインジェクション攻撃です: 開発者が悪意のあるリポジトリをクローンし、Theiaで開くと、AIエージェントのシステムプロンプトが敵対的なファイル名によって静かに毒されます。エージェントはその後、コードを流出させたり、悪意のあるツール呼び出しを実行したり、誤解を招くガイダンスを提供したりする可能性があります — すべて開発者に対して目に見える警告なしに行われます。TheiaのAIツール呼び出し機能と組み合わせると、これはコード実行またはデータ流出を達成する可能性があります。
攻撃経路
攻撃者はプロンプトインジェクションペイロードを含むファイルまたはディレクトリ名を持つリポジトリを細工します。開発者がEclipse Theiaでリポジトリを開き、AIチャットエージェント (ワークスペースのファイル名をコンテキストに含む) を使用するとき、注入された命令は信頼されたシステムガイダンスとして処理されます。
影響を受けるシステム
Eclipse Theia < 1.71.0
緩和策
Eclipse Theia 1.71.0以降にアップグレードしてください。CVE割り当てを参照してください: https://gitlab.eclipse.org/security/cve-assignment/-/work_items/113