「GitHubで開発環境が乗っ取られた……」犯人は人気のAIエージェント？：871st Lap

開発現場で人気のAIエージェントに不審な動きが見られると報告された。GitHub経由で起きた“奇妙な現象”とは。

[キーマンズネット]

　生成AIの進化に伴い、ソフトウェア開発の現場でもAIエージェント活用が広がっている。コード生成やデバッグ、ドキュメント整理などの作業を自動化できるため、開発者の生産性を大きく高める存在として注目されている。

　こうしたAIエージェントは、開発環境の中でさまざまな作業を代行する。ファイルの読み書きやコマンドの実行、パッケージのインストールなど、比較的広い権限を与えられていることも珍しくない。AIを信頼しているからこそ、開発者は必要な権限を任せている。

　だが、その信頼の裏で、思いもよらない事件が起きていた。人気のAIエージェントが別のAIエージェントを勝手にインストールする。そんな奇妙な事態が「GitHub」を経由して報告された。一体何が起きたのか？

　AI開発ツールが攻撃者の仕込んだプロンプトによって操作され、別のAIエージェントを自動的にインストールしてしまう攻撃手法が発見された。人気のAIエージェント「Cline」を標的にしたこの攻撃は、「Clinejection」と名付けられた。

　この事例は、AIエージェントのセキュリティやアーキテクチャ情報をまとめているセキュリティ企業 grith.ai が、2026年3月5日に公開した自社ブログ記事で広く知られるようになった。同社は現在、AIエージェント監視ツールのリリースも予定している。

　同ブログによると、2026年2月17日、攻撃者はnpmレジストリに「cline@2.3.0」として改ざんされたパッケージを公開した。改ざんされたのは「package.json」ファイルのみで、インストール時に別のAIエージェント「OpenClaw」を自動的に導入するよう変更されていたという。その結果、公開後約8時間の間にClineをインストールまたはアップデートした開発者のマシンに、OpenClawが同意なしにインストールされる事態となった。ブログによれば、約4000件のダウンロードが確認されたようだ。

　これほど広範囲に影響が及んだ理由は、攻撃者が「GitHub」のIssueタイトルにプロンプトを埋め込んでいたことにある。プロンプトの詳細は公開されていないが、Clineのトリアージbotがそれを指示として認識し、実行してしまった。具体的には、「外部パッケージ（不正なcline@2.3.0）を取得する」「開発環境にインストールする」「新しいAIエージェントを起動する」といった一連の処理を実行させる内容だった。

　ブログでは、この攻撃を「Confused Deputy」（混乱した代理人）問題に近いものとして説明している。今回影響を受けた開発者は、Clineに対して「ファイルの読み取り」「コマンドの実行」「パッケージのインストール」といった権限を付与していた。その結果、プロンプトインジェクションによって操作されたClineが、開発環境に与えられていた権限を、新たに導入されたAIエージェント（OpenClaw）へと引き渡してしまった。

　開発者が認識していないAIエージェントが開発環境に導入され、さらに権限まで奪われた場合、認証情報の窃取やソースコードの外部送信、さらには開発PCを踏み台としたサプライチェーン攻撃へと発展する可能性がある。AIエージェントの権限が悪用されると、開発者自身が気付かないまま、開発環境や開発マシンが侵害されるリスクがある。

　もっとも、記事によれば、今回の一連の事例は実際のサイバー攻撃ではなく、PoC（概念実証）として実施されたものだという。現時点では具体的な被害報告は確認されておらず、リスクへの警鐘を鳴らす目的で行われた実験的なケースとみられている。

　AIエージェントが開発現場の生産性を大きく向上させているのは事実だ。一方で、それに伴い新たなセキュリティリスクが生まれていることも明らかになりつつある。今回のClinejectionは実験的な事例ではあるものの、開発者が信頼するAIエージェントが、別のAIエージェントを自動的に導入してしまう可能性を示した点で、大きな警告と言える。

　今後は、従来のソフトウェアサプライチェーン管理に加え、「AIサプライチェーン」を含めた管理の重要性が高まるとみられる。開発者や企業には、AIエージェントの導入や権限管理を前提とした新たなセキュリティ対策が求められる時代になりつつある。

上司X：　AIエージェントがAIエージェントを勝手にインストールする事態が起きた、という話だよ。

ブラックピット：　ちょっと何言ってるか分からないですけど、だいぶ深刻な話ですね。

上司X：　GitHubのIssueタイトルにプロンプトを仕込むとは、なんとも意表を突いた攻撃だ。

ブラックピット：　Clineはコード生成AIエージェントとして忠実に動いただけなんでしょうけど……。

上司X：　確かにそうだ。今回の攻撃は別にAIをハックしたわけではなく、単にプロンプトで指示を出しただけだ。

ブラックピット：　AIに対するソーシャルエンジニアリングですね。AIはまんまとだまされてしまった。

上司X：　人間に対するソーシャルエンジニアリングなら、防いだり抗ったりする手だてもあるかもしれないが、AIにとってはプロンプトに反するのは難しいこともある。

ブラックピット：　特にAIエージェントだと、回答を返すだけのチャットAIと違っていろいろな権限が与えられていて、自律的に動作しますからねえ。プロンプトインジェクションには注意が必要ですね。

上司X：　コード生成AIエージェントを使うときには、いくら信頼しているといってもAIに任せきりにはしない方がいいってことだ。便利だからすっかりお任せしたいと俺なら思ってしまうんだが、横着は禁物ってことなんだろうな。キミもあまりAIエージェントに頼りきりにならないようにな。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。