ジョンズホプキンス大学の研究者アナン・グアン氏らは、GitHubのプルリクエストに悪意ある指示を仕込む「プロンプトインジェクション」で、AnthropicのClaude Code Security ReviewがAPIキーをコメントとして投稿する様子を確認しました。
同じ手口はGoogleのGemini CLI ActionやGitHub Copilot Agent(Microsoft)でも機能し、外部の攻撃インフラは不要だったとされています。
グアン氏らは「Comment and Control」として詳細な技術開示を公開し、GitHub Actionsの標準設定ではforkのプルリクに機密を渡さない一方、AI連携で多用されるpull_request_target型のワークフローでは機密がランナー環境に注入され得る点を指摘しました。
AnthropicはCVSS 9.4の重大度として100ドルのバウンティを付与し、Googleは1,337ドル、GitHub Copilot Bountyは500ドルを支払ったと報告されています。
3社はいずれも修正済みで、NVDのCVE登録やGitHub Security Advisoriesでの公開勧告は確認されていないとしています。
ベンダーのシステムカードには、モデル層の安全性評価はあっても、エージェント実行時(ランタイム)やツール実行への耐性が十分に示されていないギャップがあるとの見方が示されました。
また、保護はモデル境界ではなくアクション境界に置くべきで、ランタイムが被害範囲になるとのCSOの指摘も紹介されています。
参照元:2026/04/21 「Three AI coding agents leaked secrets through a single prompt injection. One vendor’s system card predicted it」 https://venturebeat.com/security/ai-agent-runtime-security-system-card-audit-comment-and-control-2026
コメント