沈黙の侵害:エージェントジャッキング(Agentjacking)はいかにして最新のAIワークフローを悪用するか
ソフトウェア開発パイプラインへのAIエージェントの急速な統合は、前例のない生産性の向上を約束してきました。しかし、このシフトは「エージェントジャッキング(Agentjacking)」という新たな重大な攻撃経路をもたらしました。Tenet Securityによる最近の調査結果は、AnthropicのClaude Codeのようなツールを利用する開発者にとって恐ろしい現実を明らかにしています。研究者は、偽装されたSentryのエラーメッセージを利用するだけで、盗まれた認証情報を一切必要とせず、AI搭載型エージェントの85%のテストでハイジャックに成功することを実証しました。
Creati.aiでは、こうした脆弱性がより広範なエコシステムにどのような影響を与えるかを明らかにすることが私たちの責任であると考えています。Claude Codeはこの調査結果の焦点となってきましたが、この攻撃の核心メカニズムである「外部ツール統合を通じたシステムプロンプトの操作」は、特定のベンダーに限ったものではありません。これはDatadog、PagerDuty、Jiraを含む、DevOpsスタックで最も人気のあるツールすべてに影響を及ぼすシステム上の脆弱性です。
攻撃の解剖:'Sentry'なりすましの役割
Tenet Securityが特定した攻撃経路は、AIエージェントがアプリケーションの健全性を監視・管理するためにサードパーティの統合に依存していることに起因します。開発者がアプリを構築する際、多くの場合、実行時の例外を捕捉するためにSentryのようなサービスを統合します。この脆弱性は、AIエージェントがこれらのツールの出力を「信頼できる情報源(Ground Truth)」として信用してしまうために発生します。
攻撃者は、悪意のあるSentryエラーをシミュレートすることで、Claude Codeエージェントの会話コンテキストを操作できます。本質的に、エージェントはシステムが故障していると思い込まされ、診断対応を開始してしまいます。問題を「修正」しようとする過程で、エージェントは偽のエラーログに埋め込まれた攻撃者の指示に従い、開発者のローカルマシンやCI/CD環境でリモートコード実行(RCE)機能を攻撃者に与えてしまう可能性があるのです。
なぜ認証ではこれを防げないのか
この研究で最も懸念される側面の一つは、OAuthトークン、APIキー、あるいはパスワードベースの認証といった従来のセキュリティ境界が無効化されるという点です。この攻撃は、エージェントの意思決定プロセスの「論理レイヤー」で動作します。AIは役立つ存在であり、自律的に動作するように設計されているため、攻撃者が「ログイン」する必要性を回避します。AIは、信頼された外部ツールの標準出力に含まれる悪意のある指示に、ただ従うだけなのです。
エクスポージャーの評価:誰が危険にさらされているか
この脆弱性が広範囲に及ぶ理由は、ほとんどの現代のAI開発ツールに共通する統合アーキテクチャを悪用しているためです。以下に、ソフトウェアエコシステムのさまざまなコンポーネントが、現在どのようにこの種のエージェントジャッキングに対してさらされているかを分類します。
| サービスカテゴリ | 主な露出ポイント | 潜在的な影響 |
|---|---|---|
| AI開発エージェント | Claude Code(および類似の実装) | ローカル開発マシンでのRCE リポジトリのシークレットへのアクセス |
| 監視ツール | Sentry / Datadog | ログメッセージを介したプロンプトインジェクション システム状態の流出 |
| インシデント管理 | PagerDuty | アラートワークフローの改ざん 不正なエスカレーション |
| プロジェクト管理 | Jira | 不正な課題操作 クロスプラットフォームでのデータアクセス |
Anthropicを超えて:業界全体への影響
Claude Codeへの注目がこの問題を表面化させましたが、セキュリティチームは、これが現在のLLM駆動型ツールにおける本質的な設計課題であることを認識しなければなりません。開発者は、こうしたエージェントに対し、ターミナルやローカルファイルへの「フルアクセス」権限をますます付与しています。AIエージェントがシェルコマンドを実行する権限を持つ場合、外部の診断ツールに対する信頼はゼロトラストであるべきです。
AI自動化に依存する組織は、今や以下を考慮する必要があります:
- コンテキストポイズニング: 攻撃者がエージェントの「メモリ」に誤った情報を注入すること。
- ツールチェーンの信頼: 統合されたすべてのサードパーティプラットフォームが真正であるという思い込み。
- エアギャップの欠如: AIエージェントは通常、機能するためにインターネット接続を必要とし、これが一度足がかりを築かれた後のデータ流出を容易にします。
緩和および防御強化のための戦略
エージェントジャッキングの脅威に対抗するために、エンジニアリングリーダーは「自律的実行」モデルから「ヒューマン・イン・ザ・ループ(人間による検証)」モデルへ移行する必要があります。Creati.aiでは、こうした脆弱性に対してAIワークフローを強化するために、以下の防御策を推奨します:
- 厳格なコンテキストサニタイズ: 外部のサードパーティツールから取得したデータをLLMに提示する前に、サニタイズを行うミドルウェアを実装する。
- 実行のサンドボックス化: AIコーディングアシスタントを、機密性の高いローカル環境変数への直接アクセス権を持たない、制限の厳しい一時的な環境(DockerコンテナやgVisorなど)で実行する。
- 暗黙的な確認: エラーログが示す「緊急度」に関わらず、ファイルシステムを変更したり外部エンドポイントに接続したりするコマンドを実行する前に、明示的な人間の承認を求めるようにエージェントをプログラムする。
- ツールレベルの認証: すべての自動診断ツール統合において、生のテキスト出力を信頼するのではなく、署名付きペイロードを通じて受信データパケットの整合性を検証する。
AIを活用した開発の台頭は避けられませんが、インフラのセキュリティは、防御態勢を適応させる我々の能力にかかっています。Tenet Securityによる開示は、AIコミュニティ全体に対する警鐘です。エージェントにコードを修正する権限を与えるならば、同時に自らの情報源を疑う権限も与えるべきなのです。業界が前進するにつれ、AIの生産性と サイバーセキュリティ との間の架け橋は、透明性と厳格な検証を基盤として築かれなければなりません。
