PRを送るだけでリポジトリを「乗っ取れる」？GitHub Actionsの危ない書き方を実際に検証してみた (hackerbot-claw)

概要

AIエージェント「hackerbot-claw」による自動攻撃事例を元に、GitHub Actionsの記述ミスが招くリポジトリ乗っ取りのリスクと、安全な実装方法を実証的に解説しています。

詳細内容

2026年2月に発生した、AI（Claude-Opus-4.5）搭載の自律型セキュリティ調査エージェント「hackerbot-claw」によるGitHubへの自動攻撃キャンペーンを題材に、CI/CDパイプラインの脆弱性を検証したレポートです。記事では、PRタイトルやブランチ名を通じたコマンドインジェクション、`pull_request_target`下での不正コード実行、そしてAIへのプロンプトインジェクションという3つの主要な脆弱性パターンを解説しています。著者は、`${{ }}`による直接展開がいかに容易に悪用され、GitHubトークン等の機密情報を流出させるかを実機で再現し、その対策として「データの命令からの分離（環境変数の利用）」や「権限の最小化」の重要性を説いています。AIが24時間体制で脆弱性をスキャンする現代における、開発者が守るべき鉄則がまとめられています。

元記事を読む他のサマリーを見る