GitHub Copilot の RCE 脆弱性 CVE-2025-53773 が FIX:Visual Studio に生じる YOLO モードとは?

GitHub Copilot RCE Vulnerability via Prompt Injection Enables Full System Compromise

2025/08/13 gbhackers — GitHub Copilot に深刻なセキュリティ脆弱性が発見された。この脆弱性を悪用する攻撃者は、高度なプロンプト挿入技術を用いて、リモート・コード実行やシステムへの完全な侵入を可能にする。この脆弱性 CVE-2025-53773 は、セキュリティ研究者による責任ある開示を受けて修正されたものであり、Microsoft の 2025年8月の Patch Tuesday において、Visual Studio のバグとして情報公開された。

脆弱性のメカニズムと攻撃ベクター

この脆弱性により、ユーザーの承認を必要とせずに、GitHub Copilot がプロジェクト・ファイルを変更するという機能が悪用される。具体的には、”.vscode/settings.json” コンフィグ・ファイルが標的とされる。

ソースコード・ファイル/Web ページ/GitHub Issue などを、悪意のプロンプトを挿入する攻撃者は、それらにより Copilot を操作し、コンフィグ・ファイルに “chat.tools.autoApprove: true” という行を追加させ、AI アシスタントを YOLO (You Only Look Once) モードに変更できる。

AttributeDetails
CVE IDCVE-2025-53773
SeverityImportant (CVSS 7.8/6.8)
ImpactRemote Code Execution
VectorLocal/Low Complexity/No Privileges Required
WeaknessCWE-77: Command Injection
CVSS StringCVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

この試験的な機能を有効化すると、Copilot 操作におけるユーザーの確認が、すべて無効化される。つまり、ユーザーによる監視をバイパスするかたちで、AI によるシェルコマンド実行/Web 閲覧/特権操作などが実行される。

この欠陥を悪用する攻撃チェーンは、最初のプロンプト・インジェクションから即時のファイル変更へと進み、その後には、完全なシステム権限を得た攻撃者による、制限のないコマンド実行へと続いていく。

セキュリティ研究者たちによるデモンストレーションで示されたのは、この脆弱性を悪用する攻撃者が、Windows/macOS/Linux システムへの侵入を達成し、条件付きプロンプト・インジェクション用いて、それらのオペレーティング・システムを標的にできることだ。

この PoC エクスプロイトには、電卓アプリの起動や C2 接続の確立が取り込まれており、潜在的な悪用の深刻さが示唆されている。

研究者たちが特定したものには、基本的なコマンド実行に加えて、複数の高度な攻撃ベクターがある。この脆弱性の悪用により、感染したリポジトリを介して拡散する、AI ウイルスの作成が可能になる。その結果として、侵害されたコードを開発者が操作すると、新たなプロジェクトに悪意の命令が自動的に埋め込まれていく。

開発者のワークステーションの、ボットネットへの組み込みを達成した攻撃者が、侵害したシステムで構成される、ZombAI ネットワークを構築できることが実証された。

Copilot can be hijacked to download malware, and join a remote command and control server

この脆弱性がもたらす攻撃対象領域は、YOLO モードの悪用だけに留まらない。研究者たちが発見したものには、”.vscode/tasks.json” の操作や、悪意の MCP サーバへのインジェクションといった攻撃ベクターも含まれる。これらは、すべて、Copilot における、制限の無いファイル変更機能を悪用するものである。

目に見えない Unicode ベースのプロンプト・インジェクションも実証されたが、目に見えるコメント・ベースの攻撃に比べると信頼性は低かった。

この脆弱性の再現性を確認した Microsoft は、2025年8月の Patch Tuesday 更新プログラムにおいて修正を完了した。セキュリティ設定に影響を与えるコンフィグにおいて、ユーザーの承認を求めるように修正する、この更新プログラムは、ファイルへの無制限の変更という根本的な問題に対処している。

この脆弱性は、2025年6月29日の時点で、責任ある情報開示チャネルを通じて報告され、Microsoft の追跡活動の一環として認知された。

Persistent Security のセキュリティ研究者である Markus Vervier も、同様の問題を独自に特定し、Microsoft のセキュリティ・レスポンス・センターに報告していた。

このインシデントが浮き彫りにするのは、AI を活用する開発ツールが生み出す新たなセキュリティ課題と、エージェント・ベース・システムにおける堅牢な権限モデルの必要性である。

GitHub Copilot が、ユーザーの承認を得ることなく、コンフィグ・ファイルを変更できるという脆弱性が発見されました。特に .vscode/settings.json が操作されると、さまざまな確認無効化する “YOLO (You Only Look Once) モード” が有効になり、Copilot が自由にコマンドを実行できる状態になってしまうと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Copilot で検索も、ご参照ください。