GitHub Copilotに潜むリモートコード実行脆弱性 「CVE-2025-53773」の実態：セキュリティニュースアラート

GitHub CopilotにプロンプトインジェクションによるRCE脆弱性「CVE-2025-53773」が発見された。開発者端末を完全に制御可能にするこの脆弱性は、Copilotが自動で設定を変更する「YOLOモード」を悪用する。

[後藤大地，有限会社オングス]

　セキュリティ研究者のヨハン・レーベルガー氏は2025年8月12日（現地時間）、「GitHub Copilot」におけるプロンプトインジェクションを悪用することで、リモートコード実行（RCE）を可能とする脆弱性の存在を報告した。脆弱性はCVE-2025-53773として登録されており、開発者の端末が完全に制御される可能性がある。

開発者端末を乗っ取るプロンプトインジェクション攻撃に要注意

　脆弱性のCVE情報は以下の通りだ。

• CVE-2025-53773：　RCEの脆弱性。GitHub Copilotと「Visual Studio」における、コマンド内で使用される特殊要素の不適切な無効化（コマンドインジェクション）により、許可されていない攻撃者がローカルでコードを実行できる（CVSS 7.8）

　Copilotがプロジェクト内の構成ファイルをユーザーの承認不要で変更できる設計を悪用する問題とされている。ワークスペース内の「.vscode/settings.jsonに"chat.tools.autoApprove": true」という設定を追加することで、Copilotが全操作を無確認で実行する「YOLOモード」に移行する。この状態ではシェルコマンド実行やWebアクセスなどが制限なく実行できるようにする。

　サイバー攻撃はソースコードやWebページ、「GitHub Issue」などに仕込まれたプロンプトインジェクションから始まる。これによって設定ファイルが改変され、Copilotが即座にYOLOモードに移行する。

　その後、攻撃者は条件付きのプロンプトインジェクションでOSごとに異なるコマンドを実行し、端末で任意のコードを動作させることが可能となる。レーベルガー氏の実証において、電卓アプリの起動や外部C2サーバへの接続などが確認されている。この攻撃は「Windows」「macOS」「Linux」のいずれでも成立する。

　この脆弱性は単なるコマンド実行だけでなく、開発環境をbotネット化する「ZombAI」や、感染コードを他のプロジェクトに伝ぱさせるAIウイルスの作成も可能にする。感染したリポジトリーを開いた別の開発者の環境も自動的に改変される恐れもある。加えて「.vscode/tasks.json」の改変や悪意あるMCPサーバの登録といった別経路の攻撃も成立することが確認されている。

　この脆弱性は2025年6月29日にMicrosoftに報告され、再現確認後、2025年8月の累積更新プログラムで修正が適用された。修正において、セキュリティに関わる構成変更時にユーザー承認を必須とする措置が導入されている。

　今回の事例は、AIエージェントが自らの環境設定を変更できる設計上の欠陥が重大なセキュリティリスクとなり得ることを示している。レーベルガー氏はこうした挙動は脅威モデリングの段階で容易に発見できるものであり、開発者は常に警戒を続けるべきだと述べている。