防御的AIエージェントを乗っ取り、リモートコード実行を実現
研究者は、AnthropicのClaude CodeとOpenAIのCodex CLIにおいて、サードパーティライブラリの防御的評価中にプロンプトインジェクションを介してリモートコード実行を可能にする概念実証エクスプロイトを公開し、AI防御ツールの推進が新たなリスクをもたらす可能性があると警告している。
研究者は先日、概念実証(PoC)エクスプロイトを公開し、AnthropicのClaude Code CLI(Claude Sonnet 4.6、Sonnet 5、Opus 4.8を搭載)およびOpenAIのCodex CLI(GPT-5.5を搭載)において、サードパーティのライブラリを防御的に評価する際に、プロンプトインジェクションを介してリモートコード実行(RCE)を達成する方法を示しました。この攻撃は、Claude Codeの「auto-mode」またはCodexの「auto-review」というデフォルト設定のみを必要とし、フック、スキル、プラグイン、MCPサーバー、設定ファイルなどの追加要素は一切不要です。攻撃者は、対象ライブラリのソースコードファイルに悪意のあるプロンプトを埋め込むことで、AIエージェントが自動的にコマンドを実行するよう誘導します。
研究チームは、この発見が、フロンティアAIモデルを防御目的で導入する際の固有のセキュリティ欠陥を浮き彫りにすると強調しています。AI企業は防御ツールが攻撃側のアドバンテージを相殺できると主張していますが、実際にはAIモデル自体が新たな攻撃ベクトルとなる可能性があります。例えば、AIエージェントがコードベースの脆弱性をスキャンする際、攻撃者は一見無害なドキュメントファイルにプロンプトインジェクションを仕込み、AIエージェントをハイジャックしてホストマシンを制御できます。
具体的な攻撃手法として、研究者はgeopyというオープンソースのPythonライブラリに、プロンプトインジェクションを含むファイルと難読化された悪意のあるバイナリを追加しました。AIエージェントが自動モードでこのライブラリをスキャンすると、ファイルを読み取り、注入されたコマンドを実行します。Claude Codeのauto-modeとCodexのauto-reviewは、どちらもこのような攻撃に対して脆弱であり、AI分類器が安全なコマンドと悪意のあるコマンドを確実に区別できないことが原因です。
研究者は、米国政府や民間企業がAI防御ツールの導入を加速していること(例:ホワイトハウスの行政命令、AnthropicのProject Glasswing、PalantirのMA-S2)に警鐘を鳴らし、これらの取り組みが防御的AIに伴うリスクを軽視していると指摘します。特に重要インフラにおいて、AIの拙速な導入は壊滅的な結果を招く可能性があります。
対策として、研究者はAIエージェントの機密システムへのアクセス制限、サードパーティコードの厳格な審査、コマンド実行ポリシーの強化、および信頼できないコードを自動モードで実行しないことを推奨しています。また、組織はAI防御ツールの実際のメリットを再評価し、AI自体が攻撃の入り口となる可能性を認識すべきです。