何が起きたか
rtk のパーミッションスプリッター (出力が LLM コンテキストにフィルタリングされる前にシェルコマンドが許可されるかどうかを決定) は、コマンド実行境界である複数の Bash 構造を保守的に拒否またはスプリットできません。許可されたコマンドプレフィックスを後にサブシェルまたはネストされた実行がそれに続くと、任意のコマンド実行を達成できます。
なぜ重要か
rtk はシェルと LLM コンテキストウィンドウの間に位置します。これは AI コーディングエージェント向けのセキュリティ制御です。パーミッションスプリッターをバイパスすると、攻撃者制御コンテンツ (たとえば、プロジェクトの Makefile またはシェルスクリプト) が LLM 実行環境のコンテキストで任意のコマンドを実行でき、ツールのセーフティ目的を完全に損なうことができます。
攻撃経路
許可されたプレフィックスで始まるが、Bash がコマンド実行境界として扱う シェル構造 (サブシェル、プロセス置換、コマンドグループ化) を含むコマンドが、パーミッションスプリッターの保守的スプリットロジックをバイパスし、承認されたコマンドのふりをして攻撃者制御コードを実行します。
影響を受けるシステム
rtk (rtk-ai/rtk) < 0.42.2
緩和策
rtk 0.42.2 にアップグレードしてください。アドバイザリ: https://github.com/rtk-ai/rtk/security/advisories/GHSA-7gxq-fvfc-g327