セキュリティ研究者Roi Nisimi氏によると、GitHub Copilotを通じて悪意のある指示を埋め込むことで、攻撃者が静かにコードスペース内のAIエージェントを制御できる脆弱性が存在することが明らかになりました。この脆弱性はOrca Securityによって「RoguePilot」と命名され、Microsoftによって修正されています。

この脆弱性は、GitHub Issuesを通じて悪意のある指示を埋め込むことで引き起こされる「間接的なプロンプト注入」の一種と説明されています。攻撃者は、HTMLコメントタグ（<!–the_prompt_goes_here–>）を使用してこの指示を隠すことができます。

具体的には、悪意のあるGitHub Issueが作成されると、ユーザーがそのIssueからコードスペースを開くと、Copilotは自動的にそのIssueの説明をプロンプトとして処理し、任意のアクションを実行します。これにより、攻撃者は機密データ（例えばGITHUB_TOKEN）を外部サーバーに漏洩させることができます。

脆弱性の詳細

RoguePilotは、GitHub Codespaces環境を起動するための複数のエントリポイントを利用します。これらのエントリポイントにはテンプレートやリポジトリ、コミット、プルリクエスト、またはIssuesが含まれます。

• コードスペースを開く際に悪意のある指示が埋め込まれている場合
• Copilotは自動的にその指示を処理し、任意のアクションを実行します
• 攻撃者はこの脆弱性を利用して機密情報を漏洩させることができます

影響と対策

Microsoftはこの脆弱性について責任ある開示を受け、直ちに対応しました。ユーザーはGitHubのセキュリティガイドラインに従い、適切なアクセス制御を確保することが重要です。

元記事: https://thehackernews.com/2026/02/roguepilot-flaw-in-github-codespaces.html