CrowdStrike · Agent Attacks
コーディング AI に、
5 つの新しい罠が見つかった。
CrowdStrike の脅威インテリジェンス部門が、Codex・Claude Code・Copilot などのコーディングエージェント固有の新型プロンプトインジェクションを 5 手法まとめて公開しました。これまでのチャット向けジェイルブレイクとは前提が違い、MCP(Model Context Protocol)で外部ツールを連鎖させる運用を狙い撃ちにする設計です。エンドユーザーは無関係でも、エージェントを本番運用している開発チームには「承認・ロールバック・監査ログ」を今週見直させるだけの重みがあります。
The Shift
ジェイルブレイクの
戦場が「入力」から「連鎖」に
これまでのプロンプトインジェクションは、チャット UI の入力欄に「無視して...」と書き込む単発型が主流でした。対策も入力サニタイズ・システムプロンプト強化・出力フィルタリングという入口寄りの三点セットで、ある程度は封じ込められたと考えられていました。AI Navigate のプロンプトインジェクション攻防記事でも、その古典的な図式を整理しています。
今回 CrowdStrike が公開したのは、その前提を丸ごと更新するものです。攻撃面はチャット欄ではなく、コーディングエージェントが自律的に読みに行く「別の何か」——GitHub の Issue、パッケージの README、MCP ツールの出力、依存パッケージのメタデータ、あるいはロールバック不可能な shell スクリプト——にシフトしました。ユーザーが入力を疑っても、エージェント自身が“素材”として取り込んだテキストに埋め込まれた命令には、そもそも同じ懐疑が向けられていないのです。
| これまで(チャット時代のインジェクション) | 今回(エージェント時代の 5 手法) |
|---|---|
| 攻撃はチャット入力欄から入る | Issue / README / MCP 出力に埋め込む |
| 対策はサニタイズ + システムプロンプト | 人間承認と権限分離とサンドボックスが必須 |
| 被害は概ね「不適切な回答」で止まる | コード改変・依存追加・shell 実行に到達 |
| 監査ログはチャット履歴を見れば十分 | ツール呼び出しと差分の突合ログが必要 |
怪しいのは「入力」ではなく、
エージェントが読みに行く先のほう。
The Five
5 つの手法を、
実務者の目線で読む
個別の PoC 手順ではなく、防御の観点で束ねます。
Issue / PR 経由の指示汚染
エージェントに「この Issue を修正して」と依頼すると、Issue 本文に埋め込まれた指示ごとエージェントの計画に流れ込みます。攻撃者は外部から Issue を開くだけで、あなたのリポジトリのエージェントに命令できる立場に立てます。
依存パッケージの README・メタデータ経由
npm / PyPI / crates.io などのパッケージ説明文に、エージェントだけが読み取る「隠しコマンド」を仕込む手口です。新規パッケージ導入の際、エージェントが真っ先に読みに行くのが README である点を突きます。
MCP ツールの出力汚染
外部 MCP サーバの出力に指示を混ぜ、エージェントの次の一手を書き換える攻撃です。信頼度の低い MCP を接続していると、汚染された出力を経由してエージェント全体の意思決定が乗っ取られます。
間接依存 (Transitive) の書き換え
直接指定した依存ではなく、その依存が引く先の meta 情報を書き換えて、エージェントに「依存の追加」を提案させる手法です。監視の目が届きにくい深い層に指示を隠すのが特徴です。
ロールバック不可な shell 経由
rm -rf や DB マイグレーションのような、実行してから戻せない操作にエージェントを誘導する手法。「巻き戻し前提の運用」を壊す設計になっていて、被害の可逆性そのものを潰しに来ます。
By The Numbers
脅威を測る 3 つの数字
Who It Hits
誰に・どう効くか
コーディングエージェントを本番運用している開発チームには直撃です。特に GitHub Issues を起点に Claude Code / Codex を回している運用(自動修正 PR 生成、Bot 化した Issue 対応)は、今回の #1 と #3 の合わせ技に対して構造的に脆弱です。導入直後の「便利さの効いた運用」ほど、監査と権限分離が後回しになっているケースが多く、優先度で言うと今週内に見直すのが妥当な範囲です。
PM・情シスにとっては、稟議の項目が 1 つ増える話です。これまでの「AI ツール導入」の審査項目に、「エージェントは外部データを読むか」「読んだ結果でどのツールを叩けるか」「戻せない操作を許可しているか」の 3 質問を追加する必要があります。これは Codex や Claude Code に限らず、ChatGPT Agent、Notion External Agents、Writer Triggers など、7 月に一気に増えたエージェント系機能すべてに共通の視点です。
個人利用者・チャットしか使わないユーザーには、直接の実害は薄めです。ただし今回の情報を知っておくと、「シェル権限を持つエージェントに社外リポジトリの Issue を渡す」ことの意味が変わって見えるようになります。エージェントを使う場面が広がる 2026 年の下半期、この“怖さの解像度”が上がるのは無駄になりません。
What's Next
今週やるべき 3 つの見直し
推奨アクションを、優先度順に 3 つに絞ります。① 「戻せない操作」を人間承認に固定する。rm -rf、DB 破壊的マイグレーション、本番デプロイ、外部 API のロールバック不可コール——これらはエージェントの自動実行から外し、Slack / ダッシュボード上のワンクリック承認を必ず挟むフローに戻す。CrowdStrike の #5 は、この 1 手だけでかなり無力化できます。
② MCP の信頼境界を明示化する。接続している MCP サーバを棚卸しし、「社内固有」「公式」「サードパーティ」「ユーザー由来」の 4 段階でラベリング。出力を次の呼び出しの入力に流す組み合わせは、社内固有・公式に限定する。この作業をこの週で走らせておくと、CrowdStrike の #3 の攻撃面がかなり削れます。
③ 差分と実行ログの突合監査。エージェントが実行した shell とファイル差分を、Human review の視野に必ず入るダッシュボードに集約する。事後でも「なぜこの差分になったか」を追跡できる状態にしておけば、#1・#2・#4 の証跡追跡が現実的になります。CrowdStrike の元レポートと、後述する反対視点も含めて、対策の全体像を組み立ててください。
Counterpoint
反対視点と限界
まず、「5 手法」という数字自体が最終形ではありません。CrowdStrike は今回まとめて公開しましたが、これまでにも同種の手法は個別に指摘されており、今回はそれを「エージェント時代の攻撃面」として再整理したものと読むのが公平です。今後も新しい経路(例: CI 上のシークレット取得、拡張機能・IDE プラグイン経由)が積み増される可能性は高い。「5 を防げばよい」という発想は、来月には陳腐化します。
また、ベンダーマーケティングとしての側面もあります。CrowdStrike はエンドポイント検知・脅威インテリジェンス製品を売る会社なので、「エージェントが危険」という物語は自社商品への追い風になります。だからと言って手法の中身の妥当性が落ちる訳ではありませんが、「ではその対策は自社製品で」というトーンには一定の警戒を持って読むと健全です。
最後に、過剰反応でエージェント運用そのものを止めてしまうリスクがあります。今回明らかになった 5 手法はどれも、「人間承認」「権限分離」「監査」で局所化できる範囲のものです。逆に言えば、この 3 つを整えれば恐れずに使い続けられるという意味でもあります。Claude Code や Codex の生産性を諦める合理性は現時点では低く、必要なのは ガードレール付きで走らせ続ける工夫——1 回でパニックしない設計の方です。