「ゴーストコミット」攻撃は、画像の中に悪意のあるAI命令を隠す

| 2026年7月13日
ゴーストコミット

Ghostcommitは、ソフトウェアコードのレビューに使用されるAIアシスタントが、画像に埋め込まれた隠し命令によってだまされてしまうことを示す概念実証(PoC)です。

学術研究グループ「ASSET」 示した 攻撃者が画像ファイル内に命令を埋め込み、それを AGENTS.md ファイルを作成し、後のタスクでAIコーディングエージェントにその指示に従わせる。

プルリクエストとは、基本的に、ソフトウェアプロジェクトのメインブランチに変更が反映される前に、開発者が「変更内容を確認し、反映してください」と正式に依頼するものです。変更内容が承認される前に、人間のレビュー担当者や、最近ではAIコーディングツールによってもレビューが行われることが増えています。

AIを活用したコードレビューが開発の日常の一部になりつつある中、Ghostcommitは多くのチームが考慮していなかった弱点を浮き彫りにした。人間のレビュー担当者はコードを読みながら、添付された画像を見落とす可能性がある。研究者による概念実証(PoC)では、リポジトリのポリシーファイルから参照されるPNGファイルの中に悪意のある命令が隠されており、一方、表示されるプルリクエストは一見するとごく普通のものに見えた。

研究者らが実証したように、これにより、日常的な開発者のワークフローが機密情報を盗み出す手段となり得る。人間のレビュー担当者がその画像を精査する可能性は低いにもかかわらず、AIコーディングエージェントはそうした隠された指示を読み取ってしまうのだ。

この攻撃は、概念としては単純ですが、実際には危険です。プルリクエストには、一見無害に見える画像と、エージェントにその画像を信頼するよう指示する設定ファイルが組み込まれています。その後、エージェントが通常のタスクを実行する際、隠された指示に従って機密ファイルを読み取り、その機密情報を難読化された形でコードに書き戻します。これにより、人間のレビュー担当者や自動スキャナーの両方の目をすり抜ける可能性のある、機密情報の窃取経路が作り出されてしまいます。

研究者たちは、AIモデルを包み込む「ハーネス」が、秘密情報が漏洩するかどうかに、基盤となるモデル自体よりも大きな影響を与えることを突き止めた。実際には、ハーネス(Cursor、Antigravity、Claude Code)が、どのファイルを読み込むか、どの規約を信頼するか、どのような安全策を適用するか、そして画像に埋め込まれた指示に従うかどうかを決定する。その結果、同じモデルであっても、それを使用するコーディングツールによって、その挙動が大きく異なることになる。 その後、モデルはそのツールから提示されたタスクをすべて実行する。

例えば、同じモデル(Claude Sonnet)であっても、ツールによってその挙動は大きく異なりました。CursorやAntigravityでは、SonnetはPNGファイルを読み込み、規約に従い、忠実に機密情報をソースコードに記録しました。しかし、Anthropic社のClaude Codeハネス下では、同じSonnetモデルが同じ規約を読み込んだにもかかわらず、機密情報の流出は不適切であると明示的に述べ、これを拒否しました。Claude Codeは、研究者がテストしたすべてのモデルにおいて拒否反応を示しました。

安全に過ごすには

ここから得られる教訓は、プロンプトの注入攻撃がもはや単なるテキストの問題ではないということです。画像のようなマルチモーダルな入力にも、ツールチェーンが許容する限り、AIエージェントが従う可能性のある指示が含まれている場合があります。Teams 、コーディングエージェントが読み取れるものすべて(画像、文書、その他のマルチモーダルな入力を含む)に、攻撃者が制御するコンテンツが含まれている可能性があることをTeams 。

AIコーディングツールを利用している組織は、これをソフトウェアサプライチェーンの問題であると同時に、AIエージェントのセキュリティ問題としても捉えるべきです。最も重要な防御策としては、機密情報へのアクセスを制限すること、テキスト以外の添付ファイルを検査すること、そしてAIエージェントが認証情報や設定ファイルを読み取ろうとする不審な試みがないか監視することが挙げられます。

また、この研究では、この攻撃を可能にしているのは、AIモデルそのものではなく、最終的にはコーディングツールとその権限であることも浮き彫りにされている。


脅威を報告するだけでなく、取り除く

サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。

著者について

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。