何が起きたか
Mitiga Labsは2026年6月22日に完全な攻撃チェーン分析を公開しました(ページソースのJSON-LDを通じてdatePublishedを確認)。従来のマルウェアを含まない偽のテイクホームコーディング評価リポジトリが、AIコーディングエージェントがデフォルトで信頼するファイル(CLAUDE.md、.cursor/rules、README、MCPconfig)を通じた間接プロンプトインジェクションを使用して、エージェントをAWS認識情報の収集、クラウドおよびKubernetesの環境列挙、および2分以内のデータ抜き出しへと操作する方法を示しています。オートラン有効で、エージェントは正規開発者ツールのみを使用しました。重大な成果は、ワークステーション修復を超えて保持された長寿命CI/CDサービスアカウント認識情報の盗難でした。
なぜ重要か
これは、実際のAIコーディングエージェント(Cursor、Claude Code)に対する完全に動作するPoCを持つ新規で武装された攻撃クラスを文書化しています。マルウェアは落とされません。従来のエンドポイントツールによる検出は本質的にゼロです。攻撃はエージェントコーディングアシスタントの基本的な信頼モデルを悪用します。人間によるレビューの前に、彼らはリポジトリコンテキストファイルを読み取り、これに基づいて行動します。盗まれた長寿命認識情報は、初期ワークステーション侵害をはるかに超えて永続的なクラウドアクセスを可能にし、これはサプライチェーンスタイルのアイデンティティ攻撃を厳しくさせます。
攻撃経路
開発者は汚染されたリポジトリを複製するかまたは開くします。オートラン有効なAIコーディングエージェントは、隠れたプロンプトインジェクション指令を含む指示ファイルを読み取り、正規ツール(AWS CLI、kubectl等)を使用して認識情報盗難および抜き出しを自動的に実行します。
影響を受けるシステム
オートラン有効なAIコーディングエージェント(Cursor、Claude Code、および類似)。リポジトリコンテキストファイル(CLAUDE.md、.cursor/rules、AGENTS.md、MCPconfigs)を処理する
緩和策
AIコーディングエージェントでオートラン/自動承認モードを無効にしてください。ツール呼び出しに対する明確な承認を要求してください。長寿命静的認識情報を短寿命トークンで置き換えてください。信頼できないリポジトリをサンドボックス化された環境で隔離してください。エージェントコンテキストファイル(CLAUDE.md、.cursor/rules、MCPconfigs)を実行前に監査してください。完全なIOCについてはMitigaアドバイザリを参照してください。