写真=Shutterstock

オープンソースのAIコーディングエージェント「Cline」の脆弱性が悪用され、利用者のPCに「OpenClaw」が無断でインストールされる事案が発生した。AIコーディングツールが新たなセキュリティ標的になりつつあると、The Vergeが2月19日(現地時間)に報じた。

脆弱性を発見して公表したのは、セキュリティ研究者のアドナン・カーン氏。ClineはAnthropicの「Claude」を基盤としており、この欠陥を突いたプロンプト注入攻撃が可能だったという。実際にこの脆弱性を悪用し、Cline利用者のPCにOpenClawを自動的にインストールさせる事例も確認された。

OpenClawは、AIエージェントがシステムを直接操作できるようにするソフトウェア。幸い、インストール後に起動されることはなく、大きな被害には至らなかった。The Vergeは、AIがコンピュータに直接命令を出せる環境では、小さな脆弱性でも致命的な脅威になり得ると指摘している。

AIエージェントの機能が強化されるほど、こうしたセキュリティ上の懸念は一段と大きくなる可能性がある。OpenAIはChatGPTに「Lockdown Mode」を導入し、データの無断送信を防ぐ対策を講じている。ただ、プロンプト注入攻撃を完全に防ぐことは依然として難しい。

The Vergeによると、カーン氏はCline側に事前に問題を通知していたが、当初は対応されなかった。その後、問題を公に指摘したことで、ようやく修正パッチが提供されたという。

キーワード

#AI #セキュリティ #プロンプト注入 #Cline #OpenClaw #Anthropic #Claude #OpenAI #ChatGPT
Copyright © DigitalToday. All rights reserved. Unauthorized reproduction and redistribution are prohibited.