ほんの2か月前、香港大学(University of Hong Kong)のData Intelligence Labの研究者たちがCLI-Anythingを発表しました。これは、任意のリポジトリのソースコードを解析し、AIコーディングエージェントが1つのコマンドで操作できる構造化されたコマンドラインインターフェース(CLI)を生成する、新しい最先端ツールです。
Claude Code、Codex、OpenClaw、Cursor、GitHub Copilot CLI のすべてが対応しており、3月の公開以来、CLI‑AnythingはGitHubスターが3万以上にまで到達しました。
しかし、ソフトウェアをエージェントネイティブにすることで開かれるのと同じ仕組みが、エージェントレベルの汚染(ポイズニング)への扉も開いてしまいます。The攻撃コミュニティはすでにXやセキュリティ掲示板でその影響を議論しており、CLI-Anythingのアーキテクチャを攻撃用のプレイブックへと翻訳しています。
セキュリティ上の問題は、CLI-Anythingが何をするかではありません。問題は、CLI-Anythingが何を意味するかです。
CLI-AnythingはSKILL.mdファイルを生成します。これは、SnykのToxicSkills研究が、2026年2月にClawHubおよびskills.shにまたがって76件の確認済み悪意あるペイロードで「混入している」と判明したのと同じ、指示レイヤーの成果物です。汚染されたスキル定義はCVEを引き起こさず、ソフトウェア部品表(SBOM)にも決して現れません。主流のセキュリティスキャナには、エージェントのスキル定義に埋め込まれた悪意ある指示を検出するためのカテゴリが存在しません。カテゴリ自体が18か月前には単に存在していなかったからです。
Ciscoは4月にこのギャップを確認しました。「従来のアプリケーションセキュリティツールは、これ向けに設計されていません」と、CiscoのエンジニアリングチームはIDE向けのAIエージェントセキュリティスキャナを発表するブログ記事で書いています。「SAST[静的アプリケーションセキュリティテスト]スキャナはソースコードの構文を解析します。SCA[ソフトウェア構成分析]ツールは依存関係のバージョンを確認します。どちらも、MCP[Model Context Protocol]のツール説明、エージェントのプロンプト、スキル定義が動作するセマンティック(意味)レイヤーを理解していないのです。」
Enkrypt AIのCSOであり、Amazon Web Services(AWS)で元Deputy CISOを務めたMerritt Baerは、VentureBeatの独占インタビューで次のように述べました。「SASTとSCAはコードと依存関係のために作られました。指示(インストラクション)を精査しないのです。」
これは単一ベンダーの脆弱性ではありません。セキュリティ業界全体がソフトウェアサプライチェーンを監視する方法における、構造的なギャップです。これは前回(悪用)に先行する“事前悪用の猶予期間”です。CLI-Anythingはすでに稼働しており、攻撃コミュニティがそれを議論していて、今行動するセキュリティ担当ディレクターなら最初のインシデント報告に先回りできます。
統合レイヤーは、誰にも見えない
従来のサプライチェーンセキュリティは、2つのレイヤーで動作します。コードレイヤーはSASTが担当し、ソースファイルをスキャンして、インストールできないパターン、インジェクションの脆弱性、ハードコードされたシークレットを探します。依存関係レイヤーはSCAが担当し、既知の脆弱性に対してパッケージのバージョンを照合し、SBOMを生成し、古いライブラリを警告します。
CLI-Anythingのようなエージェントブリッジツール、MCPコネクタ、Cursorのルールファイル、Claude Codeのスキルは、残りの2つの間にある3つ目のレイヤーで動作します。これをエージェント統合レイヤーと呼びましょう。設定ファイル、スキル定義、そして自然言語による指示セットが、AIエージェントに「どんなソフトウェアができるのか」「どう操作するのか」を教えます。どれもコードに見えません。ですが、すべてコードと同じように実行されます。
ReputationのAI担当VPであるCarter Reesは、VentureBeatの独占インタビューで次のように述べました。「最新のLLM[大規模言語モデル]は、サードパーティのプラグインに依存しており、サプライチェーン上の脆弱性が生まれます。つまり、侵害されたツールが悪意あるデータを会話フローへ注入し、社内の安全性トレーニングを迂回できてしまうのです。」
Griffith University、Nanyang Technological University、University of New South Wales、そして東京大学の研究者らは、4月の論文「LLMコーディングエージェントのスキルエコシステムに対するサプライチェーン汚染攻撃(Supply-Chain Poisoning Attacks Against LLM Coding Agent Skill Ecosystems)」で攻撃チェーンを記録しました。このチームは、Document-Driven Implicit Payload Execution(DDIPE)という手法を導入しました。これは、スキルのドキュメント内にあるコード例へ悪意あるロジックを埋め込みます。
4つのエージェントフレームワークと5つの大規模言語モデルにまたがって、DDIPEはバイパス率11.6%から33.5%を達成しました。静的解析はほとんどのサンプルを捕捉しましたが、2.5%は4つの検出レイヤーすべてをすり抜けました。責任ある開示により、4件の確認済み脆弱性と2社のベンダーによる修正がもたらされました。
キルチェーンのセキュリティリーダーが監査すべきこと
キルチェーンの構造はこうです。攻撃者は、セットアップ手順、コード例、設定テンプレートを含むオープンソースプロジェクトに対し、SKILL.mdファイルを提出します。それは標準的なドキュメントのように見えます。コードレビュー担当は実行可能なものが何もないため、それを素通りさせます。しかしコード例には、エージェントが運用上の指示(ディレクティブ)として解析する埋め込み指示が含まれています。
開発者は、エージェントブリッジツールを使って、コーディングエージェントをリポジトリに接続します。エージェントはスキル定義を取り込み、それを信頼します。指示レベルで良性か悪意かを区別するための検証レイヤーが存在しないからです。
エージェントは、正当な自分自身の資格情報を使って、埋め込まれた指示を実行します。エンドポイント検知・レスポンス(EDR)は、承認されたAPI呼び出しが許可されたプロセスから行われたのを見て、それを通します。データの持ち出し、設定変更、資格情報の収集はすべて、監視スタックが通常のトラフィックだとみなす経路を通って進みます。
Reesは、このチェーンを致命的にする構造上の欠陥を特定しました。「企業のAIにおける重大な脆弱性は、アクセス制御の破綻です。ここでは、LLMの“平坦な(フラットな)認可プレーン”がユーザー権限を尊重できなくなるのです」と、彼はVentureBeatに語りました。侵害されたスキル定義は、その平坦な認可プレーンに“乗っている”ため、権限昇格を行う必要はありません。すでに権限を持っています。さらに、そのチェーンのすべてのリンクは、現在のセキュリティスタックには見えません。
Pillar Securityが実証したように、2026年1月にCursorに対してこのチェーンの変種が示されました(CVE-2026-22708)。暗黙に信頼されたシェル組み込みコマンドが、間接的なプロンプトインジェクションを通じて汚染されうるため、開発者の善意のコマンドが任意コード実行のベクトルへと変換されます。ユーザーが見たのは最終的なコマンドだけでした。汚染が起きたのは、IDEが承認のために提示しなかった別のコマンド経由でした。
証拠はすでに本番環境にある
2026年4月の文書化された攻撃チェーンでは、細工したGitHubのイシュータイトルが、Clineに配線されたAIトリアージボットを起動しました。そのボットはGITHUB_TOKENを持ち出し(exfiltrate)ました。攻撃者はそれを使って、侵害されたnpm依存関係を公開し、8時間の間に約4,000台の開発者マシンへ2つ目のエージェントをインストールさせました。イシュータイトルは1つだけ。攻撃者には8時間のアクセスがありました。人間がその実行を承認することはありませんでした。
SnykのToxicSkills監査では、2026年2月に、OpenClawエージェントフレームワークの公開マーケットプレイスであるClawHubからのエージェントスキル3,984件と、skills.shのスキルがスキャンされました。結果:全スキルのうち13.4%が、少なくとも1つの重大なセキュリティ問題を含んでいました。日次のスキル投稿数は、1月中旬の50件未満から、2月上旬には500件超へと跳ね上がりました。公開の障壁はSKILL.mdのMarkdownファイルと、1週間前に作られたGitHubアカウントだけでした。コード署名はありません。セキュリティレビューはありません。サンドボックスもありません。
OpenClawは例外ではありません。これはパターンです。「参入のハードルは非常に低いです」とBaerは述べました。「スキルを追加することは、Wordドキュメントをアップロードするだけ、または軽量な設定ファイルを追加するだけで済む場合があります。これは、コンパイル済みコードとはまったく異なるリスクプロファイルです。」彼は、悪意のあるスキルのカタログ化とスキャンを始めているプロジェクトであるClawPatrolを指し、エコシステムが企業の防御よりも速いスピードで動いていることを示しました。
ClawHavocキャンペーンは、2026年1月下旬にKoi Securityが最初に報告しました。最初の段階では、ClawHub上で341件の悪意のあるスキルを特定しました。その後の分析としてAntiy CERTが調査を拡張し、プラットフォーム全体で1,184件の侵害済みパッケージに数が増えました。このキャンペーンは、専門的なドキュメント付きのスキル定義を通じてAtomic Stealer(AMOS)を提供しました。solana-wallet-trackerやpolymarket-traderといった名前のスキルは、開発者が実際に検索している内容と一致していました。
MCPプロトコル層にも同様の露出があります。4月にOX Securityが報告したところによると、研究者はPoCサーバを用いて、11のMCPマーケットプレイスのうち9つを毒し込みました。Trend Microは当初、ゼロ認証でインターネットに公開されている492のMCPサーバを見つけていましたが、4月にはその数は1,467にまで増えていました。The Registerが報じたように、根本原因はAnthropicのMCPソフトウェア開発キット(SDK)のトランスポート機構にあります。公式SDKを使うすべての開発者が、この脆弱性クラスを継承します。
VentureBeatの処方的マトリクス:3層のエージェント・サプライチェーン監査
VentureBeatは、上記の研究およびインシデント報告に記載された3つの攻撃層を、現在のSAST、SCA、およびエージェント層ツールの検知能力に対してマッピングすることで、Prescriptive Matrix(処方的マトリクス)を作成しました。各行は、セキュリティチームが何を検証すべきか、またどこで現時点のスキャナにカバレッジがないのかを示しています。
層 | 脅威 | 現在の検知 | 見逃す理由 | 推奨アクション |
1. コード | AI生成コードにおけるプロンプトインジェクション | SASTスキャナ | ほとんどのSASTツールには、AI生成コードにおけるプロンプトインジェクションの検知カテゴリがない | AI生成コードに対してプロンプトインジェクションのスキャンが行われていることを確認してください。行われていなければ、今四半期中にベンダーとのオープンな対話を行ってください。 |
2. 依存関係 | 悪意のあるMCPサーバ、エージェントスキル、プラグインレジストリ | SCAツール | SCAはAI固有のSBOM(ソフトウェア部品表)を生成しない。エージェント層の依存関係は見えない。 | SCAが、依存関係インベントリにMCPサーバ、エージェントスキル、プラグインレジストリを含めることを確認してください。 |
3. エージェント統合 | 毒し込まれたSKILL.mdファイル、悪意のある命令セット、アドバーサリアルなルールファイル | 2026年4月までなし | エージェント命令ファイルの意味(セマンティクス)を検査するツールがない。Baer:「意図を検査していないんです。」 | Cisco Skill ScannerまたはSnyk mcp-scanを導入してください。この層を担当するチームを割り当ててください。 |
Layer 3に関するBaerの診断は、マトリクス全体に当てはまります。「現在のスキャナは、既知の“悪い”アーティファクトを探しているだけで、正当なスキルに埋め込まれたアドバーサリアルな命令には注目していません。」この層のために最初から作られたツールとして、CiscoのオープンソースSkill ScannerとSnykのmcp-scanが挙げられます。
セキュリティディレクターのアクションプラン
ここでは、セキュリティリーダーが問題の前に進むための方法を示します。
環境内のすべてのエージェントブリッジツールを棚卸しする。 これにはCLI-Anything、MCPコネクタ、Cursorのルールファイル、Claude Codeのスキル、GitHub Copilotの拡張機能が含まれます。開発チームが棚卸しされていないエージェントブリッジツールを使っている場合、リスクを評価できません。
エージェントスキルの入手元を、パッケージレジストリと同じやり方で監査する。 Baerの整理は正確です。「スキルは、たとえそれがテキストであっても、実質的に“信頼できない実行可能な意図”です。」統制が整うまで無管理の取り込み経路を遮断すること。スキルのレビューと許可リスト化(allowlisting)のプロセスを立ち上げてください。OWASP Agentic Skills Top 10(AST01: Malicious Skills)は、統制を揃えるための調達(procurement)上の枠組みを提供します。
エージェント層のスキャンを導入する。 CiscoのオープンソースSkill ScannerとSnykのmcp-scanを、エージェント命令ファイルの行動(behavior)分析の観点で評価してください。専用のツールが利用できない場合は、インストール前にすべてのSKILL.mdを必ず別のエンジニアに読ませることを要件とします。
エージェントの実行権限を制限し、実行時を計測(計測・可観測化)する。 AIコーディングエージェントは、それを呼び出した開発者と同じ資格情報(credential)のスコープで実行すべきではありません。Reesは構造的な欠陥を確認しました。フラットな認可プレーンのため、侵害されたスキルが権限昇格する必要はありません。Baerの処方箋:「実行時の可観測性を計測してください。エージェントはどのデータにアクセスしているのか、どのようなアクションを取っているのか、そしてそれらは想定される挙動と一致しているのか?」
層間のギャップの責任者を割り当てる。 最も危険な攻撃が成功するのは、検知カテゴリの“間”に収まってしまうからです。エージェント統合層を担当するチームを割り当ててください。環境に入ってくる前に、すべてのSKILL.md、MCP設定、ルールファイルをレビューします。
すでに名前の付いたギャップ
Baerは、この新しい攻撃ベクターの危険性を強調しました。「これは初期のコンテナセキュリティに非常に似ています。でも、多くの組織では今も“そのうち対応する”段階なんです」と彼女は述べました。さらに、AWSでは、コンテナセキュリティがテーブルステークスになるまでに、いくつかの注目度の高い目覚まし(きっかけとなる)事案が必要だったとも付け加えました。今回の違いはスピードです。「ビルドパイプラインもありませんし、コンパイルの障壁もありません。あるのは“コンテンツ”だけです」と彼女は言いました。
CLI-Anythingは脅威ではありません。エージェント統合層が存在していること、しかも急速に拡大していること、そして攻撃者コミュニティがすでにそれを見つけていることの“証拠事例”です。リポジトリにスターを付けた33,000人の開発者は、セキュリティチームに対し、ソフトウェア開発がどこへ向かうのかを示しています。18か月前には、エージェント統合層へのポイズニング(毒し込み)の検知カテゴリは存在しませんでした。CiscoとSnykは、それに対応する最初のツールを4月にリリースしました。これら2つの事実の間の猶予期間は縮んでいます。棚卸しを始めていないセキュリティディレクターは、すでに後れを取っています。
