GitHub Actions/GitLab CI/CD とプロンプト・インジェクション:Fortune 500 企業への影響を確認

Prompt Injection Vulnerability in GitHub Actions Impacts Multiple Fortune 500 Companies

2025/12/05 gbhackers — ソフトウェア開発における Artificial Intelligence (AI) の活用が引き起こす副作用が、新しいタイプのセキュリティ脆弱性となり、大企業を危険にさらしている。Aikido Security が発見したのは、PromptPwnd という名の脆弱性である。この脆弱性により、GitHub Actions/GitLab CI/CD パイプライン内で動作する AI エージェントが、攻撃者に乗っ取られる可能性が生じている。

研究者たちが確認しているのは、Fortune 500 企業のうち、少なくとも5社が影響を受けている状況である。この初期の兆候が示唆するのは、脆弱性 PromptPwnd が業界全体に広がっていくトレンドである。

この脆弱性が影響を及ぼす範囲は、Google Gemini CLI/Claude Code/OpenAI Codex/GitHub AI Inference といった、一般的な AI ツールを用いるワークフローである。

攻撃の仕組み

この脆弱性のベースにあるのは、攻撃者が AI モデルを騙すプロンプト・インジェクションと呼ばれる手法であり、その結果として、本来の正当な指示に従わないようにさせるものである。

この手法は、チャットボットの動作を悪化させる方法として知られているが、この新たな亜種は、はるかに深刻な影響を及ぼす。

 AI Turns Into a Remote Execution Vector flow
 AI Turns Into a Remote Execution Vector flow

現代のソフトウェア開発で AI エージェントを用いる企業は、バグレポート分類/コード更新 (プルリクエスト) のラベル付け/議論の要約といった単調作業を自動化している。

これらの作業を実行するために、多くのケースにおいて AI に付与されるのは、コード変更や機密情報閲覧を許可する特権的なアクセス・キーである。したがって、悪意の人物が送信したメッセージである、バグレポート/コード更新/コミットメッセージに悪意のコマンドが隠されていると、攻撃が発生する可能性がある。

自動化された AI エージェントがタスクを実行するために、この種の悪意のテキストを読み取るときに混乱が発生する。つまり AI は、テキストを分析対象データとして扱うのではなく、上司からの新たな指示と解釈してしまう。

この種の AI は特権アクセスを持つため、危険なコマンドを実行するよう誘導される可能性がある。プロンプト・インジェクションを用いる攻撃者はコードを1行も書かずに、AI に秘密パスワードを漏洩させ、ソフトウェア・コードを改竄させ、クラウド・アクセストークンを盗ませることが可能となる。

現実の世界の重要なインフラ・パイプラインを、プロンプト・インジェクションが侵害する可能性を実証した点で、Aikido の研究は注目される。

適切な情報開示の手続きに従い、Aikido が示したのは、Google の Gemini CLI リポジトリにおける脆弱性である。

特別に細工された問題タイトルを提示する研究者は、Gemini AI を騙して管理ツールを使用させ、機密性の高い API キーの漏洩に成功した。この脆弱性の通知を受けた Google は、その4日後に修正プログラムを適用した。

Aikido は、「開発パイプラインにおける AI の台頭により、新たな攻撃対象領域が生まれている。信頼できないユーザー入力が、AI プロンプトに直接挿入されている。そして、AI からのレスポンスが、リポジトリ・レベル権限で実行されるシェルコマンド内で使用されている」と説明している。

セキュリティ専門家たちが推奨するのは、以下の3つの重要手順により安全性を確保することだ。

  1. AI の権限を制限する:必要がない限り、AI エージェントにコードの作成/変更に関する承認権限を付与しない。
  2. 入力をサニタイズする:問題タイトルなどの生ユーザー・テキストを、AI プロンプトに直接入力することを避ける。やむを得ず入力する場合は、事前に十分検証する。
  3. 出力の検証:AI により生成される全てのコードやコマンドを、信頼できないものとして扱い、実行前に人間の承認を求める。

Aikido がリリースした、オープンソース・ルールと無料スキャン・ツールは、GitHub Action の “.yml” ファイルにおける、この特定パターンに関連する脆弱性の有無を識別するためのものだ。

AI を活用する開発パイプラインで、AI エージェントが攻撃者に騙され、武器化してしまう流れが説明されています。その原因は、ユーザーからのテキストを取り扱う AI が、”入力データ” ではなく “新しい指示” と解釈してしまう仕組みにあります。その結果として、特権を持つ AI が悪意のメッセージに誘導され、機密情報の漏洩やコードの改竄などを引き起こすというリスクが生まれています。よろしければ、カテゴリ AI/ML を、ご参照ください。