AIエージェントの脆弱性：GitHub上で鍵とトークンを盗む「Comment and Control」攻撃

開発チームでAIエージェントがコードレビューやタスク処理を担う中、GitHub上で敏感な鍵、トークン、権限が危険にさらされる問題が発覚した。Aonan Guanらの研究が3つのエージェントに攻撃を成功させ、セキュリティリスクを指摘する。（約40語）

AIエージェントはどう攻撃されたか？

Comment and Controlと名付けた攻撃手法が問題だ。攻撃者はタイトル、issue、コメントに悪意ある指示を残す。エージェントはこれを通常業務と処理し、結果を同じ環境で出力する。

これにより外部インフラ不要で攻撃が可能になる。GitHubが入力と出力の両方を担う点が鍵だ。

対象となった3つのAIエージェントとは？

• Claude Code Security Review（Anthropic）：pull requestのタイトルに悪意指示を挿入。エージェントがコマンドを実行し、環境から認証情報を抽出。
• Gemini CLI Action（Google）：issueとコメントでGEMINI_API_KEYを漏洩させる。
• GitHub Copilot Agent（Microsoft/GitHub）：HTMLコメントに隠し指示。画面上見えず、エージェントが処理し認証情報を暴露。

攻撃の影響とリスクはどれほどか？

攻撃でAPIキー、GitHubトークンなどの秘密が漏洩する。GitHub Actionsで信頼できない協力者のコンテンツを実行する場合に影響大。

デフォルトではforkからのpull requestに秘密を公開しないが、カスタム設定でリスクが生じる。研究者は最小権限の原則を推奨する。

公衆への通知は不十分だったか？

The Registerによると、各社は報奨金を支払ったが、公衆警告やCVE割り当てなし。

研究者のドキュメントでは、脆弱版を使い続けるユーザーがいると警告。公開通知の欠如が問題だ。

他のシステムへの波及リスクは？

このパターンはSlackボット、Jiraエージェントなど自動化ツールに適用可能。外部コンテンツ読み込みと権限アクセスが条件だ。

FAQ：AIエージェントのセキュリティ対策

• 最小権限とは？ エージェントに業務必需のツール・秘密のみ付与。
• 誰が影響受ける？ GitHub Actionsで信頼外コンテンツを実行するリポジトリ。
• 解決策は？ 権限リストを厳格化し、外部入力の検証を強化。