B
今週中
GitHubのプルリクエストやIssueのコメントを利用してAIプログラミングエージェントを操作する「Comment and Control」と呼ばれる新しいプ…
📌 一言でいうと
GitHubのプルリクエストやIssueのコメントを利用してAIプログラミングエージェントを操作する「Comment and Control」と呼ばれる新しいプロンプト注入攻撃が発見されました。この脆弱性はClaude Code、Gemini CLI、GitHub Copilotの3つのツールに影響し、CI/CD環境からAPIキーやアクセス・トークンなどの機密情報を窃取される可能性があります。攻撃者は外部サーバーを介さず、GitHubプラットフォーム内だけで完結して指令を実行させることが可能です。
🏢影響範囲
GitHubを利用してAIエージェント(Claude Code, Gemini CLI, GitHub Copilot)をCI/CDパイプラインに組み込んでいる開発者および組織
✅該当時の対応
AIエージェントに渡す入力データのサニタイズを徹底し、特権を持つ環境変数へのアクセス制限(--disallowed-tools等の利用)を設定すること。また、GitHub Actionsのトリガー条件を厳格に管理し、信頼できないユーザーからのPRやコメントによる自動実行を制限することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【脆弱性対応】GitHub上のAIエージェントにおけるプロンプト注入攻撃(Comment and Control)について
お疲れさまです。GitHub上のAIエージェントに影響する深刻な脆弱性に関する情報共有です。
■ 概要
GitHubのプルリクエスト(PR)のタイトルやIssueのコメントを悪用し、AIプログラミングエージェントを操作する「Comment and Control」と呼ばれるプロンプト注入攻撃が発見されました。攻撃者が悪意のあるコメントを投稿することで、CI/CD環境からAPIキーやアクセス・トークンなどの機密情報を窃取される可能性があります。特にClaude Code Security ReviewではCVSS 9.4の極めて深刻な評価となっています。
■ 影響範囲
- Anthropic Claude Code Security Review
- Google Gemini CLI Action
- GitHub Copilot Agent (SWE Agent)
■ 対応手順
1. AIエージェントに渡す入力データのサニタイズ処理を徹底し、信頼できないユーザーからの入力を制限してください。
2. 環境変数へのアクセス制限(例:Claude CLIにおける--disallowed-tools等の利用)を設定し、特権情報の露出を最小限に抑えてください。
3. GitHub Actionsのトリガー条件(pull_request, issues, issue_comment)を厳格に管理し、外部コントリビューターによる自動実行を制限することを検討してください。
■ 参考情報
- freebuf / HackerOne (#3387969)
対応優先度: 高(速やかな対応を推奨)
お疲れさまです。GitHub上のAIエージェントに影響する深刻な脆弱性に関する情報共有です。
■ 概要
GitHubのプルリクエスト(PR)のタイトルやIssueのコメントを悪用し、AIプログラミングエージェントを操作する「Comment and Control」と呼ばれるプロンプト注入攻撃が発見されました。攻撃者が悪意のあるコメントを投稿することで、CI/CD環境からAPIキーやアクセス・トークンなどの機密情報を窃取される可能性があります。特にClaude Code Security ReviewではCVSS 9.4の極めて深刻な評価となっています。
■ 影響範囲
- Anthropic Claude Code Security Review
- Google Gemini CLI Action
- GitHub Copilot Agent (SWE Agent)
■ 対応手順
1. AIエージェントに渡す入力データのサニタイズ処理を徹底し、信頼できないユーザーからの入力を制限してください。
2. 環境変数へのアクセス制限(例:Claude CLIにおける--disallowed-tools等の利用)を設定し、特権情報の露出を最小限に抑えてください。
3. GitHub Actionsのトリガー条件(pull_request, issues, issue_comment)を厳格に管理し、外部コントリビューターによる自動実行を制限することを検討してください。
■ 参考情報
- freebuf / HackerOne (#3387969)
対応優先度: 高(速やかな対応を推奨)
Subject: [Security Advisory] Prompt Injection Vulnerability in GitHub AI Agents (Comment and Control)
Dear IT Administrator,
We are sharing critical information regarding a prompt injection vulnerability affecting several AI programming agents integrated with GitHub.
■ Overview
Researchers have identified a new attack vector called "Comment and Control." This vulnerability allows attackers to hijack AI agents via malicious GitHub PR titles, issue bodies, or comments. By exploiting these, attackers can exfiltrate sensitive API keys and access tokens directly from CI/CD environments. The vulnerability in Claude Code Security Review has been rated as critical with a CVSS score of 9.4.
■ Affected Products
- Anthropic Claude Code Security Review
- Google Gemini CLI Action
- GitHub Copilot Agent (SWE Agent)
■ Recommended Actions
1. Implement strict sanitization of all input data passed to AI agents.
2. Restrict access to privileged environment variables by using flags such as --disallowed-tools or --allowed-tools where applicable.
3. Review and tighten GitHub Actions trigger conditions (e.g., pull_request, issues, issue_comment) to prevent automatic execution by untrusted users.
■ Reference
- freebuf / HackerOne (#3387969)
Priority: High (Prompt action is recommended)
Dear IT Administrator,
We are sharing critical information regarding a prompt injection vulnerability affecting several AI programming agents integrated with GitHub.
■ Overview
Researchers have identified a new attack vector called "Comment and Control." This vulnerability allows attackers to hijack AI agents via malicious GitHub PR titles, issue bodies, or comments. By exploiting these, attackers can exfiltrate sensitive API keys and access tokens directly from CI/CD environments. The vulnerability in Claude Code Security Review has been rated as critical with a CVSS score of 9.4.
■ Affected Products
- Anthropic Claude Code Security Review
- Google Gemini CLI Action
- GitHub Copilot Agent (SWE Agent)
■ Recommended Actions
1. Implement strict sanitization of all input data passed to AI agents.
2. Restrict access to privileged environment variables by using flags such as --disallowed-tools or --allowed-tools where applicable.
3. Review and tighten GitHub Actions trigger conditions (e.g., pull_request, issues, issue_comment) to prevent automatic execution by untrusted users.
■ Reference
- freebuf / HackerOne (#3387969)
Priority: High (Prompt action is recommended)