SecurityWeekは16日（現地時間）、セキュリティエンジニアのアオナン・グアン氏が、AnthropicのClaude Code、GoogleのGemini CLI、GitHub Copilot Agentを共通の手口で攻撃できるプロンプト注入手法「Command and Control」を公表したと報じた。

この手法は、ジョンズ・ホプキンス大学の研究者の支援を受けて発見された。GitHub上のコメント、PRタイトル、Issue本文といった一般的な入力に細工を施し、AIエージェントに正規の指示だと誤認させて攻撃者の命令を実行させる仕組みだ。

グアン氏によると、Claude Codeのセキュリティレビューでは、細工したPRタイトルを使ってAIエージェントを欺き、任意のコマンド実行や認証情報の抽出が可能だった。抽出した情報は、セキュリティレポートやGitHub Actionsのログに出力させることができるという。

Gemini CLIでは、プロンプト注入を含むIssueコメントによってガードレールを回避し、APIキー全体を窃取できたとしている。

GitHub Copilot Agentでは、HTMLコメント内にペイロードを隠すことで環境フィルタリングを回避し、シークレットをスキャンした上で、ネットワークファイアウォールを越えてデータを流出させることができたという。

Claude CodeとGemini CLIに対する攻撃では、被害者の操作なしにGitHub Actionsのワークフローが自動でトリガーされる。一方、GitHub Copilot Agentでは、被害者がIssueをCopilotに割り当てる必要がある。

グアン氏は、「このパターンは、信頼できないGitHubデータを処理し、運用シークレットと同一ランタイムで動作するツールにアクセスするすべてのAIエージェントに当てはまる」と指摘。「GitHub Actionsに限らず、Slackボット、Jiraエージェント、メールエージェント、デプロイ自動化まで、注入経路が異なるだけで構図は同じだ」と述べた。

3社はいずれも脆弱性を確認した。Anthropicはこの問題を「Critical」に分類し、一部の緩和策を適用した上で、100ドルのバグバウンティを支払った。Googleは1337ドル、GitHubは500ドルをそれぞれ支払った。GitHubはこの問題を、既知のアーキテクチャ上の制約として扱ったという。

グアン氏は、今回の事例について「単一のプロンプト注入パターンで主要3社のAIエージェントを同時に攻撃した、初の公開クロスベンダー実証だ」と説明。その上で、「根本的な問題はアーキテクチャにある」と主張した。外部入力を処理する領域と、APIキーやトークンなどの機微情報を扱う領域が同一環境に置かれているため、外部から悪意ある指示が入り込むと、機微情報に直接到達し得る構造になっていると指摘している。