主要AI開発エージェントで発覚した共通脆弱性
Johns Hopkins大学の研究チームが2026年4月に発表した調査結果によると、SecurityWeekの報道により、Claude Code、Gemini CLI、GitHub Copilotの3つの主要AI開発エージェントに同一パターンのプロンプトインジェクション脆弱性が発見された。研究を主導したAonan Guan氏によると、これは「単一のプロンプトインジェクションパターンが3つの主要AIエージェント全体で実証された初の公開事例」である。攻撃の流れは「信頼されていないGitHubデータ → AIエージェントが処理 → エージェントがコマンド実行 → GitHub自体を通じて認証情報が流出」という共通パターンを示している。
この脆弱性は、AIエージェントがGitHubリポジトリのメタデータをタスクコンテキストとして取り込む際に、悪意のあるプロンプトが埋め込まれたプルリクエストタイトル、イシューボディ、コメントを処理することで発生する。特に、GitHub Copilot Agentに対する「Comment and Control」攻撃では、HTMLコメントを利用してペイロードを隠し、環境フィルタリングをバイパスし、秘密情報をスキャンしてネットワークファイアウォールを突破する手法が確認されている。
各ベンダーの対応とバグバウンティ支払い状況
Anthropic、Google、GitHubの3社すべてが脆弱性を確認し、バグバウンティを支払った。Let's Data Scienceの報告によると、Anthropicは問題を「critical」に分類し、いくつかの軽減策を実装して研究者に100ドルのバグバウンティを授与した。Googleは1337ドルのバグバウンティを支払い、GitHubは研究者に500ドルを授与し、彼らの研究が「素晴らしい内部議論を引き起こした」と述べている。
しかし、GitHubはセキュリティ問題を「既知のアーキテクチャ上の制限」として分類している。より深刻な問題として、どのベンダーもCVE(Common Vulnerabilities and Exposures)や公開勧告を発行しておらず、Guan氏は「公開勧告を発行しなければ、ユーザーは自分が脆弱であること、または攻撃を受けていることを知らない可能性がある」と警告している。これにより、ピン留めされた古いデプロイメントが露出したままになる可能性が高い。
Gemini CLI ActionとClaude Codeでの具体的攻撃手法
Gemini CLI Actionに対する攻撃では、研究者はルーチンコーディングタスク用の自律エージェントとして機能するシステムを標的とした。プロンプトインジェクションタイトルを含むイシューコメントと、特別に作成されたイシューコメントを組み合わせることで、ガードレールをバイパスし、完全なAPIキーを取得することに成功している。この攻撃パターンは、AIエージェントが信頼されていないユーザー入力を処理する同じランタイムで強力なツール(bash実行、git push、API呼び出し)と秘密情報(APIキー、トークン)にアクセスできるアーキテクチャ上の根本的な問題を示している。
研究者は「複数の防御層が存在する場合でも(モデルレベル、プロンプトレベル、そしてGitHubの追加的な3つのランタイム層)、すべてバイパス可能である。なぜなら、ここでのプロンプトインジェクションはバグではなく、エージェントが処理するように設計されたコンテキストだからだ」と指摘している。この根本的な設計問題により、従来のサニタイゼーションベースの制御では不十分であることが明らかになっている。
他のAI開発ツールでも類似問題が継続発生
Dark Readingの報告によると、GoogleのAI基盤開発環境AntiGravityでも2026年2月に重要なプロンプトインジェクション脆弱性が修正された。Pillar Securityの研究チームが1月に報告したこの脆弱性により、攻撃者は一見無害なプロンプトインジェクションをシステム全体の侵害に発展させることが可能だった。同様に、AI支援開発環境CursorでもCVE-2026-22708として追跡されるプロンプトインジェクション脆弱性が発見されており、制約された操作用に設計されたツールが入力の厳格な検証なしに攻撃ベクターとなるパターンが繰り返されている。
Pillar SecurityのLisichkin氏は「シェルコマンドに到達するすべてのネイティブツールパラメータは潜在的なインジェクションポイントである」と指摘し、業界全体でサニタイゼーションベースの制御から実行分離への移行が必要だと提言している。また、「外部コンテンツからの指示に従う自律エージェントが動作する場合、人間が疑わしいものを捉えるという信頼モデルは成り立たない」として、従来のセキュリティ前提の根本的見直しが求められている。
企業環境での対策と推奨アクション
この脆弱性パターンが示す脅威に対し、企業は複数層の対策を実装する必要がある。まず、CI/CDパイプラインの監査を実施し、AIエージェントに与えられた権限を最小限に制限することが重要である。特に、リポジトリメタデータをタスクコンテキストとして処理するエージェントについては、ランナー環境からの秘密情報漏洩や、PRコメントとしての機密出力投稿を防ぐ設定の見直しが急務である。
技術的対策として、実行分離の実装が推奨されている。AIエージェントが処理する信頼されていない入力と、システムレベルの権限や秘密情報へのアクセスを分離することで、プロンプトインジェクション攻撃の影響を最小化できる。また、エージェント機能を安全に出荷するために、この種の脆弱性に対する監査を必須とする開発プロセスの確立が求められている。
継続的監視と更新管理の重要性
ベンダーが公開勧告を発行していない現状を踏まえ、企業は独自の脅威情報収集と継続的監視体制の構築が不可欠である。特に、ピン留めされたバージョンや古いデプロイメントが攻撃に晒される危険性が高いため、AIエージェントツールの定期的な更新とセキュリティパッチの適用を自動化することが重要である。また、プロダクションCI/CD統合に対するこの実用的な脅威実証を受け、既存の脅威モデル文書の更新と、自律エージェントアーキテクチャ全体に浸透する根本的な障害モードへの対応策の策定が求められている。
