RoguePilot：GitHub Codespacesの脆弱性が悪意あるCopilot指示によりGITHUB_TOKENを露出

GitHub Codespacesの脆弱性がAI駆動型攻撃によりGITHUB_TOKENを露出させるリスク

GitHub Codespacesにおける重大なセキュリティ脆弱性「RoguePilot」は、脅威アクターがGitHub Copilotを介してGitHubのIssueに悪意のある指示を埋め込むことで、リポジトリを侵害する可能性があった。この脆弱性はOrca Securityによって発見され、Microsoftによる責任ある開示を経て修正された。

RoguePilotの技術的詳細（CVEは未割り当て）

この脆弱性は、GitHub CodespacesがCopilotから生成されるAI指示を処理する方法に起因していた。攻撃者はGitHubのIssue内に隠しプロンプトを仕込むことで、Copilotが意図しない動作を実行させ、GITHUB_TOKENの認証情報を漏洩させる可能性があった。これらのトークンが悪用されると、リポジトリへの不正アクセス、コードの改ざん、機密データの持ち出しが可能になる。

現時点ではCVE IDは割り当てられていないが、この脆弱性はAI駆動型開発ツールがセキュアなコーディング環境にもたらすリスクを浮き彫りにしている。攻撃ベクトルは以下の要素に依存していた：

• プロンプトインジェクション技術によるCopilotの挙動操作
• AI生成レスポンスの不適切な処理によるトークン露出
• GitHubエコシステム内での横展開の可能性

影響と悪用リスク

RoguePilotが悪用された場合、攻撃者は以下の行為が可能だった：

• GITHUB_TOKENの窃取によるリポジトリの乗っ取り
• 検知を回避した悪意あるコードの注入
• GitHub組織内での権限昇格
• 侵害されたリポジトリからの機密データの持ち出し

この脆弱性は、オープンソースプロジェクト、企業リポジトリ、GitHub Codespacesを利用するCI/CDパイプラインに重大なリスクをもたらしていた。Microsoftによるパッチで問題は緩和されたが、組織は不正アクセスの兆候がないかリポジトリの活動を監査することが推奨される。

セキュリティチーム向け推奨事項

1. GITHUB_TOKENのローテーション – 露出の可能性があるトークンを即時無効化し、再生成する。
2. リポジトリ活動の監視 – 不審なコミット、プルリクエスト、権限変更がないかログを確認する。
3. 最小権限の原則の適用 – CodespacesとCopilotへのアクセスを必要最低限の担当者に制限する。
4. GitHub CLIと拡張機能の更新 – Codespacesと連携するツールを全て最新の状態に保つ。
5. 開発者への教育 – AI支援コーディングツールにおけるプロンプトインジェクションリスクについてチームを訓練する。

Microsoftは、この脆弱性が実際に悪用されたかどうかは公表していない。しかし、この事例はDevOpsワークフローにおけるAIセキュリティ強化の必要性を強調している。

原文レポート：The Hacker News