概要
Hackerbot-claw、自律型AIボットがGitHub Actionsの設定ミスを悪用し、MicrosoftやDataDogなどの主要なオープンソースプロジェクトに対してCI/CDパイプラインを攻撃しました。この攻撃は、プルリクエストターゲットワークフローとシェルインタプリテーションバグを利用して、通常の自動化プロセスをサプライチェーンバックドアに変える可能性があることを示しています。
攻撃の詳細
Hackerbot-clawは7日間にわたるキャンペーンで、少なくとも6つの高プロファイルリポジトリを標的としました。これらのリポジトリにはMicrosoft、DataDog、Aqua Security、CNCFプロジェクト、RustPythonやTrivyなどの人気ツールが含まれます。
このボットは:
- 10以上のプルリクエストを開き、CIワークフローをトリガーし、脆弱性の確認を行いました。
- 少なくとも4つのリポジトリで任意のコード実行に成功しました。
- 人気のあるプロジェクトから書き込み権限を持つGitHubトークンをエクスフィレートしました。
攻撃手法
Hackerbot-clawは、2026年2月21日から28日の間に、公開リポジトリで利用可能なGitHub Actionsワークフローをシステム的にスキャンし、脆弱性のあるものを特定しました。攻撃者はGoのinit()関数を品質チェックスクリプトに挿入することで、悪意のあるコードが正当なチェック前に実行されるようにしました。
MicrosoftとDataDogへの攻撃
Microsoftのai-discovery-agentでは、Hackerbot-clawはブランチ名注入技術を使用し、ワークフローがブランチリファレンスをファイルにエコーする際、シェル構文が埋め込まれたため、Bashがコマンド置換を評価してリモートペイロードを実行しました。
DataDogのdatadog-iac-scannerでは、Hackerbot-clawはファイル名ベースのコマンドインジェクションを使用し、Markdownファイル名にbase64でエンコードされたシェルコマンドを($(…))で囲んで作成しました。これにより、パススルーワークフローがファイル名を通じてBash forループに渡され、ダウンロードと実行が行われました。
対策
DataDogは迅速に対応し、権限を厳格化して、パスハンドリングを強化しました。また、ambient-codeのplatformプロジェクトでは、Claude Codeが悪意のある指示に従わないことを示すとともに、PRsを閉じて制御を強化するよう推奨しました。
重要な教訓
Aqua SecurityのTrivyに対する最も深刻なインシデントでは、Hackerbot-clawはパーソナルアクセストークン(PAT)を盗み、リポジトリを非公開に変更し、歴史的なリリースを消去しました。
この事例は、単一の過剰な権限を持つシークレットが完全なエコシステムレベルへの影響につながる可能性があることを示しています。CI/CDパイプラインに対する防御は、攻撃者が既に展開している自動化と同等の自動化と厳格さが必要です。
対策方法
- pull_request_targetワークフローを使用しないでください。
- forkコードをBashで実行する際は、エスケープされたインタプリテーションや動的評価パターンを使わないようにします。
- AI駆動のワークフローには読み取り専用の権限を設定し、ツールのリストを厳格に管理します。