Fugu-MT 論文翻訳(概要): "Your AI, My Shell": Demystifying Prompt Injection Attacks on Agentic AI Coding Editors

論文の概要: "Your AI, My Shell": Demystifying Prompt Injection Attacks on Agentic AI Coding Editors

arxiv url: http://arxiv.org/abs/2509.22040v1
Date: Fri, 26 Sep 2025 08:20:54 GMT
ステータス: 翻訳完了
システム内更新日: 2025-09-29 20:57:54.293851
Title: "Your AI, My Shell": Demystifying Prompt Injection Attacks on Agentic AI Coding Editors
Title（参考訳）: Your AI, My Shell":エージェントAIコーディングエディタのプロンプトインジェクション攻撃の謎化
Authors: Yue Liu, Yanjie Zhao, Yunbo Lyu, Ting Zhang, Haoyu Wang, David Lo,
Abstract要約: 攻撃者が悪質な指示で外部開発資源に毒を盛ることで、リモートでこれらのシステムを利用する方法を示す。 AIShellJackはエージェントAIコーディングエディタのインジェクション脆弱性を評価する自動テストフレームワークである。評価の結果,攻撃成功率は悪意のあるコマンドを実行する場合,最大84%に達する可能性が示唆された。
参考スコア（独自算出の注目度）: 18.075392981522565
License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
Abstract: Agentic AI coding editors driven by large language models have recently become more popular due to their ability to improve developer productivity during software development. Modern editors such as Cursor are designed not just for code completion, but also with more system privileges for complex coding tasks (e.g., run commands in the terminal, access development environments, and interact with external systems). While this brings us closer to the "fully automated programming" dream, it also raises new security concerns. In this study, we present the first empirical analysis of prompt injection attacks targeting these high-privilege agentic AI coding editors. We show how attackers can remotely exploit these systems by poisoning external development resources with malicious instructions, effectively hijacking AI agents to run malicious commands, turning "your AI" into "attacker's shell". To perform this analysis, we implement AIShellJack, an automated testing framework for assessing prompt injection vulnerabilities in agentic AI coding editors. AIShellJack contains 314 unique attack payloads that cover 70 techniques from the MITRE ATT&CK framework. Using AIShellJack, we conduct a large-scale evaluation on GitHub Copilot and Cursor, and our evaluation results show that attack success rates can reach as high as 84% for executing malicious commands. Moreover, these attacks are proven effective across a wide range of objectives, ranging from initial access and system discovery to credential theft and data exfiltration.
Abstract（参考訳）: 大規模言語モデルによって駆動されるエージェントAIコーディングエディタは、ソフトウェア開発における開発者の生産性向上能力により、最近人気が高まっている。 Cursorのような現代のエディタは、コード補完だけでなく、複雑なコーディングタスク(例えば、端末でのコマンドの実行、開発環境へのアクセス、外部システムとの対話など)のためのシステム特権も備えている。これにより、"完全に自動化されたプログラミング"という夢に近づきますが、新たなセキュリティ上の懸念も持ち上がります。本研究では,これらの高能率エージェント型AIコーディングエディタを対象とした,プロンプトインジェクション攻撃の実証的研究を行った。攻撃者は、悪意のある命令で外部開発リソースを汚染し、AIエージェントを効果的にハイジャックして悪意のあるコマンドを実行し、"あなたのAI"を"攻撃者のシェル"に変えることで、これらのシステムをリモートで活用することができることを示す。この分析を行うために,エージェントAIコーディングエディタのインジェクション脆弱性を評価する自動テストフレームワークであるAIShellJackを実装した。 AIShellJackには、MITRE ATT&CKフレームワークから70のテクニックをカバーする314のユニークな攻撃ペイロードが含まれている。 AIShellJackを使用して、GitHub CopilotとCursorで大規模な評価を行い、攻撃成功率が悪意のあるコマンドを実行する場合、最大84%に達することを示す。さらに、これらの攻撃は、初期アクセスやシステム発見からクレデンシャル盗難やデータの流出まで、幅広い目的において効果的であることが証明されている。

関連論文リスト

Cuckoo Attack: Stealthy and Persistent Attacks Against AI-IDE [64.47951172662745]
Cuckoo Attackは、悪意のあるペイロードを構成ファイルに埋め込むことで、ステルス性と永続的なコマンド実行を実現する新しい攻撃である。攻撃パラダイムを初期感染と持続性という2つの段階に分類する。当社は、ベンダーが製品のセキュリティを評価するために、実行可能な7つのチェックポイントを提供しています。
論文参考訳（メタデータ） (2025-09-19T04:10:52Z)
Cybersecurity AI: Hacking the AI Hackers via Prompt Injection [0.5043403308699188]
われわれは、AIを利用したサイバーセキュリティツールが即時インジェクション攻撃によって自身に対抗できることを実証する。プロンプト注入はクロスサイトスクリプティング(XSS)を連想させるサイバーセキュリティAIフレームワークとそのCLIツールに対する概念実証エクスプロイトを提案する。
論文参考訳（メタデータ） (2025-08-29T14:32:48Z)
Code with Me or for Me? How Increasing AI Automation Transforms Developer Workflows [60.04362496037186]
本研究は,コーディングエージェントと開発者インタラクションを制御した最初の研究である。我々は,2つの主要な協調型およびエージェント型符号化アシスタントの評価を行った。結果から,エージェントはコピロトを超える方法で開発者を支援することができることがわかった。
論文参考訳（メタデータ） (2025-07-10T20:12:54Z)
Bridging AI and Software Security: A Comparative Vulnerability Assessment of LLM Agent Deployment Paradigms [1.03121181235382]
大規模言語モデル(LLM)エージェントは、AI固有の旧来のソフトウェアドメインにまたがるセキュリティ上の脆弱性に直面している。本研究では,Function Calling アーキテクチャと Model Context Protocol (MCP) デプロイメントパラダイムの比較評価を通じて,このギャップを埋める。私たちは7つの言語モデルにわたる3,250の攻撃シナリオをテストし、AI固有の脅威とソフトウェア脆弱性の両方を対象として、シンプルで、構成され、連鎖した攻撃を評価しました。
論文参考訳（メタデータ） (2025-07-08T18:24:28Z)
AgentVigil: Generic Black-Box Red-teaming for Indirect Prompt Injection against LLM Agents [54.29555239363013]
本稿では,間接的なインジェクション脆弱性を自動的に検出し,悪用するための汎用的なブラックボックスファジリングフレームワークであるAgentVigilを提案する。我々はAgentVigilをAgentDojoとVWA-advの2つの公開ベンチマークで評価し、o3-miniとGPT-4oに基づくエージェントに対して71%と70%の成功率を達成した。攻撃を現実世界の環境に適用し、悪質なサイトを含む任意のURLに誘導するエージェントをうまく誘導する。
論文参考訳（メタデータ） (2025-05-09T07:40:17Z)
RedCode: Risky Code Execution and Generation Benchmark for Code Agents [50.81206098588923]
RedCodeはリスクの高いコード実行と生成のためのベンチマークである。 RedCode-Execは、危険なコード実行につながる可能性のある、挑戦的なプロンプトを提供する。 RedCode-Genは160のプロンプトに関数シグネチャとドキュメントを入力として提供し、コードエージェントが命令に従うかどうかを評価する。
論文参考訳（メタデータ） (2024-11-12T13:30:06Z)
AgentDojo: A Dynamic Environment to Evaluate Prompt Injection Attacks and Defenses for LLM Agents [27.701301913159067]
我々は、信頼できないデータ上でツールを実行するエージェントの評価フレームワークであるAgentDojoを紹介した。 AgentDojoは静的テストスイートではなく、新しいエージェントタスク、ディフェンス、アダプティブアタックを設計、評価するための環境である。 AgentDojoには97の現実的なタスク、629のセキュリティテストケースと、文献からのさまざまな攻撃および防御パラダイムが組み込まれています。
論文参考訳（メタデータ） (2024-06-19T08:55:56Z)
Raij\=u: Reinforcement Learning-Guided Post-Exploitation for Automating Security Assessment of Network Systems [0.0]
Raij=uフレームワークは強化学習駆動の自動化アプローチである。我々は2つのRLアルゴリズムを実装し、知的行動を行うことのできる特殊エージェントを訓練する。エージェントは55段階未満の攻撃で84%以上の攻撃を成功させる。
論文参考訳（メタデータ） (2023-09-27T09:36:22Z)
Automating Privilege Escalation with Deep Reinforcement Learning [71.87228372303453]
本研究では,エージェントの訓練に深層強化学習を用いることで,悪意あるアクターの潜在的な脅威を実証する。本稿では,最先端の強化学習アルゴリズムを用いて,局所的な特権エスカレーションを行うエージェントを提案する。我々のエージェントは、実際の攻撃センサーデータを生成し、侵入検知システムの訓練と評価に利用できる。
論文参考訳（メタデータ） (2021-10-04T12:20:46Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。