ジョンズ・ホプキンス大学のセキュリティ研究者らが、GitHub Actions内で使用されるAIエージェントに深刻な脆弱性を発見した。この欠陥は、Anthropic、Google、Microsoftのソリューションに影響を与え、GitHub Copilotのようなツールも含まれる。
Aonan Guan氏が率いるチームは、新たな攻撃手法を実証した。プルリクエストの本文やコメントに悪意のある指示を直接挿入するというものだ。AIエージェントはタスクの一部としてこのデータを自動的に処理し、埋め込まれたコマンドを実行する可能性がある。その結果、機密情報を含む可能性のある結果を公開してしまう危険性がある。
「Comment and Control」と名付けられたこの手法では、攻撃者が説明文やコメントに隠れた、あるいは偽装されたコマンドを追加する。エージェントはその後、GitHub環境内でこれらを実行し、アクセストークンやAPIキーなどの機密データを公開された応答に直接流出させる可能性がある。
最初の標的の一つはAnthropicのセキュリティツールだった。研究者らは、このツールがプルリクエストのタイトルを信頼できるコンテキストとして扱い、「whoami」のようなコマンドを実行して結果をコメントとして投稿できることを発見した。APIキーの流出を含むより深刻なシナリオを実証した後、同社はこの問題を認識し、その重大度を9.4と評価した上で、ドキュメントに警告を追加した。
同様のアプローチがGoogleのソリューションにも有効だった偽の「信頼できるコンテンツ」ブロックを挿入することで、研究者らは組み込みの制限を回避し、GEMINI_API_KEY変数の公開を強制した。Googleはこの発見を認め、報奨金を支払った。
MicrosoftのGitHub Copilotは最も耐性があることが証明されたが、これも回避された。攻撃者は、ユーザーには見えないがAI処理ではアクセス可能な隠れたHTMLコメントを使用した。当初、この問題は既知であると主張されていたが、Microsoftも攻撃実証後に報奨金を支払った。
注目すべきは、いずれの企業も脆弱性識別子を開示せず、詳細なユーザーガイダンスを公開しなかった点だ。研究者らによれば、これは追加のリスクを生み出す。開発者が脅威に気づかずに脆弱なツールバージョンを使い続ける可能性があるからだ。