Anthropic、Google、MicrosoftのAIエージェントに認証情報を漏洩させる攻撃を研究者が発見

佐々山 Tacos

2026.04.16

GitHub Actionsと連携するAnthropic、Google、MicrosoftのAIエージェントに認証情報を漏洩させる攻撃を研究者が発見

The Register – Wed 15 Apr 2026

セキュリティ研究者らが、GitHub Actionsと連携する3種の人気AIエージェントに対し、新たなタイプのプロンプトインジェクション攻撃を仕掛けてAPIキーやアクセストークンを盗み出すことに成功。問題は各ベンダーに報告され、研究者はバグ報奨金を受け取ったものの、脆弱性にはCVEが割り当てられておらず、公開アドバイザリもリリースされなかったという。

研究者のAonan Guan氏は当初、Anthropic社の「Claude Code Security Review」においてこのプロンプトインジェクションの脆弱性を発見。これは同社のGitHub Actionで、AIエージェントを使ってコードの変更やプルリクエストを分析し、脆弱性やその他のセキュリティ上の問題を探知するために使われる。

Guan氏は、ユーザーのプロンプトがどのようにAIエージェントに伝わるのか、またエージェントがそれらのプロンプトに基づいてどのようにアクションを起こすのかという「フロー」の面に着目。エージェントはGitHubのデータ（プルリクエストのタイトル、issueの本文、コメントなど）を読み取り、タスクコンテキストの一部として処理し、その後アクションを実行する。これと同じフローが、ClaudeだけでなくGitHub Actions内のほかのAIエージェントにも採用されていることがわかったという。

これを踏まえ、Guan氏はAIが読み込むデータに悪意ある指示を注入できればエージェントを乗っ取ることができるかもしれないとの考えのもと、プルリクエストのタイトルに悪意ある指示を埋め込んだ。具体的には、Claudeに対し、Bashツールを使ってwhoamiコマンドを実行し、その結果を「セキュリティ上の問題」として返すよう指示した。すると、Claudeは研究者のコマンドを実行して出力結果をJSONレスポンスに埋め込み、そのレスポンスがプルリクエストのコメントとして投稿されたという。

Guan氏が2025年10月にHackerOneのバグバウンティプログラムを通じてこの攻撃手法を提出したところ、Anthropicはこの手法でGitHubアクセストークンやAnthropicのAPIキーといったより機密性の高いデータを窃取することは可能かと質問。Guan氏はこれを受け、そうした認証情報を漏洩させることも可能であることを実証し、11月に同社から100ドルのバグ報奨金を授与されたという。

Guan氏は、「（プルリクエストの）タイトルがペイロードであり、ボットのレビューコメントは認証情報が表示される場所の1つ」になっており、「攻撃者はタイトルを書き換え、コメントを読み取る」と説明。また、機微な情報を漏洩させた後、攻撃者プルリクエストのタイトルを「誤字修正」といった内容に戻し、その後プルリクエストをクローズしてボットのメッセージを削除できる点にも留意すべきだという。

その後、Guan氏はジョンズホプキンス大学の研究者Gavin Zhong氏およびZhengyu Liu氏とともに、同様の攻撃がその他のエージェントに対しても有効かどうかを調べることに。GeminiをGitHubのイシューワークフローに統合する「Google Gemini CLIアクション」と、GitHubのイシューを割り当てて自動的にプルリクエストを作成できる「GitHub Copilot Agent」を対象にテストを実施した。

すると、後者では若干複雑な手順が必要になったものの、いずれのエージェントに対してもこのプロンプトインジェクション攻撃を成功させることができたという。この結果、研究者らはGoogleから1,337ドル、GitHubからは500ドルのバグ報奨金を受け取った。3つのエージェントに対するテスト攻撃の結果、研究者らはAnthropicおよびGeminiのAPIキー、複数のGitHubトークン、そしてGitHub Actionsランナー環境内で公開されているその他のあらゆるシークレットを盗み出すことに成功している。これには、ワークフローがアクセス可能な任意のユーザー定義のリポジトリや組織のシークレットが含まれるという。

Guan氏は、今回のようなタイプのプロンプトインジェクション攻撃を「コメント・アンド・コントロール」と命名。攻撃全体がGitHub内で完結し、外部のコマンド・アンド・コントロール（C2）インフラを必要としないことから、「コマンド・アンド・コントロール」とかけた呼び名を採用している。

Guan氏によれば、コメント・アンド・コントロール攻撃と従来の間接プロンプトインジェクション攻撃の間には「重大な差異」があるという。後者は攻撃者がWebページやドキュメントにペイロードを仕込み、ターゲットユーザーがAIにその処理（「このページを要約して」、「このファイルを確認して」など）を依頼するのを待つ「リアクティブ」な攻撃であるのに対し、前者は「プロアクティブ」な攻撃とされる。そう言える理由として、Guan氏は「GitHub Actionsのワークフローが、プルリクエストのタイトル、イシューの本文、およびイシューのコメントに対して自動的に実行する」点を挙げている。

コメント・アンド・コントロール攻撃のような攻撃は、対プロンプトインジェクション防止策を講じてあるAIモデルに対しても有効な恐れがある。こうした攻撃に対しては、「プロンプトインジェクションを、人間ではなくAIエージェントを標的としたフィッシングと捉える」ことが重要になるという。その上で、エージェントを「超強力な従業員」として扱い、エージェントが任務を遂行するために必要となるツールのみを渡すようにすることが大切だとGuan氏は述べている。