C
月内に
Anthropic社のAIモデルClaudeを利用したコードレビューツールが、Gitのアイデンティティ偽装によって悪意のあるコードを承認してしまう脆弱性がMan…
📌 一言でいうと
Anthropic社のAIモデルClaudeを利用したコードレビューツールが、Gitのアイデンティティ偽装によって悪意のあるコードを承認してしまう脆弱性がManifold Securityにより指摘されました。Gitのコミットメタデータ(名前やメールアドレス)を信頼できるメンテナーのものに偽装することで、AIがコードの内容ではなく送信者の正当性を優先して判断したためです。これはGit自体の脆弱性ではなく、AIが不十分な信頼信号に基づいて判断を下したことに起因します。
🏢影響範囲
AIベースのコードレビューツールを導入しているソフトウェア開発組織および企業
✅該当時の対応
Gitのコミット署名(GPG/SSH)を強制し、メタデータではなく検証済みの署名に基づいて信頼性を判断すること。また、AIによる自動承認に完全に依存せず、人間による最終レビューを組み込むこと。