The Hacker Newsは12月6日(現地時間)、「Researchers Uncover 30+ Flaws in AI Coding Tools Enabling Data Theft and RCE Attacks」において、複数のAIコーディングツールから合計30以上の脆弱性が発見されたと報じた。
これら脆弱性を悪用されると、コンテキストの乗っ取りおよび任意の命令を実行される可能性があるという。
-
Researchers Uncover 30+ Flaws in AI Coding Tools Enabling Data Theft and RCE Attacks
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
発見された脆弱性のうち、24件は共通脆弱性識別子(CVE: Common Vulnerabilities and Exposures)が割り当てられたと報告されている。これら脆弱性には共通点があり、次の3つの攻撃(上から下へ連鎖していく)が可能とされる。
- 攻撃者は大規模言語モデル(LLM: Large Language Model)のガードレールをバイパスしてコンテキストを乗っ取ることができる。この攻撃単体ではデータ漏洩の可能性がある
- AIエージェントの特定のアクション(ファイルの作成や書き込みなど)は、ユーザー操作を必要とせずに実行することができる。攻撃者はIDEの設定を調整することで、任意のコードを実行できる可能性がある
- 認証済みのリモートの攻撃者は、標的リポジトリーに悪意のあるファイルを配置することで、Visual Studio CodeおよびAIツールの利用時にリモートコード実行(RCE: Remote Code Execution)できる可能性がある
研究者が公開した脆弱性(CVE)の一覧は次のとおり。
- CVE-2025-49150
- CVE-2025-53097
- CVE-2025-58335
- CVE-2025-53773
- CVE-2025-54130
- CVE-2025-53536
- CVE-2025-55012
- CVE-2025-64660
- CVE-2025-61590
- CVE-2025-58372
脆弱性が存在する製品
脆弱性が存在するとされる製品は次のとおり。この一覧は研究者がテストした製品に限られており、IDE環境として「Visual Studio Code」、「JetBrains」、「Zed.dev」のいずれかを使用する別のAI製品にも同様の脆弱性が存在すると推測されている。
- GitHub Copilot
- Cursor
- Windsurf
- Kiro.dev
- Zed.dev
- Roo Code
- Junie
- Cline
- Gemini CLI
- Claude Code
対策
研究者は情報公開時点までに修正を確認できなかったと報告。ユーザー保護が必要としてエクスプロイトを非公開とし、状況の改善を確認してから公開する方針を明らかにした。
この攻撃を回避する方法として、前述のAIツールの利用者に次の対策の実施を推奨している。
- 信頼できるプロジェクトおよびファイルのみを使用する。ソースコードやREADMEファイルの中身に加え、ファイル名もプロンプトインジェクションの可能性がある
- 信頼できるMCPサーバのみ接続する。サーバの変更を定期的に監視する
- ソースを追加した場合は、隠れた命令が存在しないか内容を精査する。特に、コメントや非表示のUnicode文字に警戒する
- 可能であれば、AIエージェントの設定で人間の介入を必須にする
なお、共通脆弱性識別子(CVE)の割り当てのある脆弱性は、一部のAIツールで修正が完了している。前述の製品の利用者は影響を調査し、必要に応じてアップデートすることが望まれている。
OpenAI CEO、AIモデルに深刻なセキュリティの課題があることを認める
