ClineのIssue Triage Workflowにおけるプロンプトインジェクション脆弱性
AIコーディングツールのClineにおいて、GitHubリポジトリ上のIssue Triage Workflowを起因とするプロンプトインジェクション脆弱性(Clinejection)が発見された。
Claudeを利用したIssue対応アクションが任意のユーザーによって実行可能かつ、Bash等の実行権限が許可されていたため、Issueの起票を通じてGitHub Actions上で任意のコードが実行できる状態にあった。
また、GitHub Actionsの仕様上、Issue Triage Workflowとリリース用ワークフロー間でキャッシュ領域が共有されていたため、キャッシュポイズニングを利用してNightlyジョブからVSCE_PATやNPM_RELEASE_TOKENなどの発行権限トークンが窃取可能になるリスクが指摘されている。
対応として、該当するAIワークフローの削除およびNightlyジョブのキャッシュ使用を停止する修正が行われている。一時的な自衛策として、公式の安全確認が行われるまでVS Code拡張機能などの自動更新を無効化することが推奨されている。