何が起きたか
GitHub Copilot 1.372.0は、fetch_webpageに渡されたファイルハンドラーURI パラメータ経由の、ユーザー承認なしのワークスペースフォルダ外のファイルシステムアクセスを許可します。悪意のあるドキュメントまたはWebページからの間接プロンプトインジェクションと組み合わされ、これは初期ドキュメント処理以外のユーザーインタラクションなしで、ワークスペース境界外のファイル抜き出しを可能にします。CVSS 7.5 High。2026年6月22日に公開。元の研究はblindcyber.comで公開されました。
なぜ重要か
GitHub CopilotはVS CodeおよびJetBrains IDEに埋め込まれており、数百万のインストール数があります。この欠陥はプロンプトインジェクション(例えば、コード内の悪意のあるコメント、細工されたREADME、またはCopilotを通じてロードされたWebページ)から直接、任意のユーザー承認ダイアログなしのワークスペース外の任意のファイル読み取りへの具体的なパスを作成します。AIコーディングアシスタントがそれらのツール呼び出しサーフェスを通じてデータ抜き出しツールと
攻撃経路
Indirect prompt injection from untrusted content processed by Copilot (document, code comment, web page) injects a file-handler URI into the fetch_webpage tool call, causing Copilot to read and return files outside the workspace folder.
影響を受けるシステム
GitHub Copilot 1.372.0
緩和策
Update GitHub Copilot to a version beyond 1.372.0. NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-66389; Original research: https://blindcyber.com/2025/10/28/copilot-fun/