Hackers Exploit GitHub Copilot Flaw to Exfiltrate Sensitive Data
2026/04/10 CyberSecurityNews — GitHub Copilot Chat で発見された、高深刻度の脆弱性を悪用する攻撃者は、プライベート・リポジトリから機密データを密かに流出させることが可能な状況にあった。この脆弱性 CVE-2025-59145 (CVSS 9.6) を悪用する攻撃者は、悪意のコード実行を必要とせずに、ソースコード/API キー/クラウド・シークレットの窃取が可能であった。
この CamoLeak と命名された攻撃手法は、AI 支援開発における新たな脅威を示している。2025年8月の時点で、GitHub は Copilot Chat の画像レンダリングを無効化するという修正を実施し、2025年10月になって、研究者により脆弱性の情報が公開された。
CamoLeak 攻撃チェーン
GitHub Copilot Chat は Pull Request をレビューする際に、開発者の権限でリポジトリ内のコードやファイルを読み取る。この信頼されたアクセスを悪用するCamoLeak は、GitHub における不可視 Markdown コメント構文に、悪意の命令を埋め込む。
これらのコメントは、通常の UI では表示されないため、人間のレビューでは検出されない。その一方で、Copilot は生のテキストを取り込み、隠された命令を正規の指示として処理する。
攻撃は以下の 4 段階で実行される。
- 攻撃者は PR 説明内にプロンプト・インジェクションを埋め込む。
- 開発者が Copilot にレビューを依頼し、隠された命令を AI に渡す。
- 注入された命令は、コードベース内の機密情報 (AWS キーなど) を検索し、base16 形式でエンコードさせるものである。
- Copilot は、エンコードされたデータを画像 URL に埋め込み、ブラウザ描画時に攻撃者サーバへ送信する。
CSP 回避手法
この攻撃の高度な点は、Content Security Policy (CSP) の回避にある。通常は、外部ホストからの画像読み込みは制限されるが、攻撃者は GitHub の Camo 画像プロキシ用の正規署名付き URL を事前に生成し、各 URL に 1 文字分のデータを対応させた。
それらは、攻撃者サーバ上の透明 1×1 ピクセル画像を指す。通信は GitHub の信頼されたインフラを経由するため、通常の画像通信として扱われ、検知は回避される。
影響と対策
この攻撃手法は、GitHub に固有のものではなく、深層までのシステム・アクセスを持つ AI アシスタント全般に適用可能である。Microsoft 365 Copilot や Google Gemini にも、同様のリスクが存在する。
信頼されていない入力が、AI の指示系に影響を与える場合に、隠れたデータ流出経路が生み出される。従来の監視では、信頼チャネル経由のデータ流出を検知できないため、防御のためのエンドポイント側での制御が重要となる。
BlackFog の ADX のようなソリューションは、送信トラフィックを監視し、AI を経由した情報流出も含めて、遮断することを目的としている。
訳者後書:この問題の原因は、人間には見えない隠し文字である Markdown コメントを、AI アシスタントが正規の指示として解釈してしまうという点にあります。この脆弱性 CVE-2025-59145 (CVSS 9.6) は、CamoLeak と命名された巧妙な手法で悪用されました。攻撃者がプルリクエストの中に、機密情報を画像 URL に変換して外部へ送信させる命令を埋め込むことで、開発者の信頼された権限を悪用する AI が、データを流出させてしまう仕組みです。GitHub 自身の画像プロキシ機能を介するため、通常のセキュリティ監視をすり抜けてしまうという、検出の難しさもありました。目に見えない命令まで、AI が実行してしまうリスクを理解する必要があります。よろしければ、Prompt Injection での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.