何が起きたか
Mitiga Labs(2026年6月18日公開)は7,000以上のパブリックリポジトリ全体で50,000以上の AI 命令ファイル(Cursor ルール、CLAUDE.md、AGENTS.md、MCP サーバー設定、Claude Hooks、Anthropic Skills)をスキャンし以下を発見しました:(1) すべての Claude API トラフィックを攻撃者制御の中間者プロキシ経由で静かにルーティングして、すべてのプロンプトとレスポンスをキャプチャする出荷された「利便性」ファイルの攻撃者制御 ANTHROPIC_BASE_URL オーバーライド、(2) デフォルトとして出荷された権限バイパスオーバーライド、(3) 数十のサービス全体で1,230以上のハードコードされた API キーと JWT トークン。Mitiga はまた野生でキャッチされたプロンプト流出手法を発見しました。研究はこれらのパターンを検出するための無料スキャナー(Skillgate)をリリースしました。
なぜ重要か
AI コーディングエージェント(Claude Code、Cursor)はリポジトリまたはプロジェクトディレクトリにある命令ファイルを無条件に信頼します。悪質なリポジトリ、侵害されたオープンソースプロジェクト、またはトロイの木馬化された Cursor ルールファイルはすべての AI API トラフィックを攻撃者のプロキシ経由で静かにリダイレクトしてすべてのプロンプト(コード、秘密、内部データを含む)とすべてのモデルレスポンスを流出させることができます。1,230以上のライブ API キーが検出された場合、直接認証情報盗難の影響も重大です。これは AI コーディングエージェントの採用とともにスケールするサプライチェーン攻撃クラスです。
攻撃経路
攻撃者は攻撃者制御サーバーを指す ANTHROPIC_BASE_URL オーバーライドをリポジトリの AI 命令ファイル(例:CLAUDE.md、.cursorrules)に埋め込みます。開発者が AI コーディングエージェントでプロジェクトを開くと、すべての API トラフィックが静かにプロキシされ、プロンプト、秘密、レスポンスがキャプチャされます。
影響を受けるシステム
Claude Code、Cursor、リポジトリコンテキストから CLAUDE.md/AGENTS.md/.cursorrules/MCP サーバー設定ファイルを読み取る あらゆる AI コーディングエージェント。ANTHROPIC_BASE_URL オーバーライドサポート付き Anthropic SDK を使用するプロジェクト。
緩和策
リポジトリと CI パイプラインのすべての AI 命令ファイルを予期しない ANTHROPIC_BASE_URL またはそれに類するベース URL オーバーライドについて監査してください。Mitiga の無料 Skillgate スキャナーを使用してください。ベットされていないリポジトリからの命令ファイルをレビューなしに信頼しないでください。参照:https://www.mitiga.io/blog/malware-in-ai-instruction-files-skillgate