あなたのAIコーディングアシスタントは、偽のバグ報告に騙されて攻撃者のコマンドを実行しうる：”Agentjacking” 実験で成功率85%。ただし「実証」であって「実害」ではない【2026年6月】

Q: 「成功率85%」って、攻撃の85%が成功するってこと？

いいえ。Claude Code / Cursor / Codex など主要Agentに対する研究者の実験での成功率です。「実際の攻撃の85%が成功した」ではありません。

Q: 「2,388社」は被害に遭った会社の数？

いいえ。注入可能な有効 Sentry DSN（公開キー）を持つと判明した、つまりキーが露出していた組織の数です。攻撃された数でも被害件数でもなく、調査時点の発見数です。

あなたのAIコーディングアシスタントは、偽のバグ報告に騙されて攻撃者のコマンドを実行しうる：

AIにコードを書かせ、エラーを調べさせ、修正まで任せる。そんな「AIコーディングAgent」（Claude Code / Cursor / Codex など）に対して、偽のエラー報告を読ませることで攻撃者の用意したコマンドを実行させられる、という新しい弱点が実証されました。セキュリティ企業 Tenet Security（Tenet Threat Labs）がこの攻撃クラスを “Agentjacking” と名付け、2026年6月に公表しています（出典: Infosecurity Magazine 2026-06-11 / Hackread）。「85%」「2,388社」といった数字が並ぶと、つい「もう広く攻撃されているのか」と身構えてしまいます。けれど先に一番大事な線引きを置いておきます。これは研究者が「こうすれば乗っ取れる」と実験で示した段階の話であって、「実際に大規模な被害が出た」という報告ではありません。本記事は2026年6月時点の報道に基づいて、この攻撃の仕組みを初心者の方にも分かるように噛み砕いたうえで、「どこまでが実証で、どこからが推測か」を分けて整理していきます。

この記事のポイント

セキュリティ企業 Tenet Security（Tenet Threat Labs）が、AIコーディングAgentを乗っ取りうる攻撃クラスを “Agentjacking” と命名し、2026年6月に公表した（出典: Infosecurity Magazine 2026-06-11 / Hackread）
核心はプロンプトインジェクション。攻撃者は、Agentが信頼して読み込むデータ（特に Sentry のエラー報告）の中に、悪性のシェルコマンドや「解決策」を仕込む
AIは「外から取ってきた資料」と「あなたの指示」を同じテキストとして読む。だから報告に紛れた偽の修正手順を、正規の指示と区別できずに実行しうる
入口は公開された Sentry の DSN（公開キー）。露出したキーがあれば認証もシステム侵入も不要で、1回のHTTP POSTで悪性コマンドを注入できる（出典: Hackread）
実験での成功率は約85%。注入可能な状態のSentry DSNを持つと判明した組織は少なくとも2,388社、研究者がexploit可能と確認したターゲットは100件超（出典: Infosecurity / Hackread）
ただし全て「実験・露出・実証」の数字。「85%の攻撃が成功した」「2,388社が攻撃された」という実害の数字ではない
防御の方向はSentryキーの定期ローテーション・認証情報スキャン・AI Agentの権限を最小に・異常挙動の監視（出典: 複数解説）

まず「何が新しいのか」から

これまでのサイバー攻撃は、ざっくり言えば二通りでした。一つは人間を騙すこと（偽のメールでパスワードを入力させる、など）。もう一つはシステムの穴を突くこと（プログラムのバグをついて侵入する、など）。

Agentjacking が新しいのは、そのどちらでもない第三の入口を突いている点です。狙われるのは人でもシステムの穴でもなく、「AIに渡されるデータ」です。AIが自分でツールを使い、外部の情報を取ってきて、自律的に判断して動く。その「自律性」こそが、新しい攻撃面になりました。AIに渡すデータを汚染して、AI自身に悪事をさせる。これがこの攻撃の発想です。

便利さの裏返し、と言ってもいいかもしれません。「エラーを調べて直しておいて」とAgentに丸ごと任せられるのは、Agentが外部のエラー報告を読み、解決策を考え、コマンドを実行できるからです。その一連の流れのどこかに偽の情報を紛れ込ませれば、Agentは言われたとおりに動いてしまう。自律性が上がるほど、「何を信じさせるか」が攻撃のポイントになるのです。

仕組みを丁寧に：AIには「命令」と「資料」の境界が見えにくい

ここが今回いちばん大事なところなので、ゆっくり説明します。

私たち人間は、文章を読むときに「これは自分への指示」「これは参考のために見ている資料」という区別を、ほとんど無意識にやっています。資料の中に「このコマンドを実行しなさい」と書いてあっても、それが資料の一部なら、勝手に従ったりはしません。

ところが現在のAIは、「あなたの指示」と「外から取ってきた情報」を、基本的に同じテキストの流れとして読みます。「このエラーを調べて」というあなたの依頼も、Agentが取ってきたエラー報告の中身も、AIにとっては地続きの文字列です。だから報告の中に「このエラーは○○が原因です。直すには次のコマンドを実行してください」と書かれていれば、それが攻撃者の仕込んだ一文でも、Agentは正規のアドバイスと区別できずに従いうる。AIには『どこからが命令で、どこからが資料か』の境界が、人間ほどはっきりとは見えていない。これがプロンプトインジェクションと呼ばれる弱点の本体です。

典型的なシナリオは、こう進みます（出典: Infosecurity Magazine）。

開発者がAgentに「このエラーを調べて直して」と頼む
Agentが MCP（Model Context Protocol）という仕組み経由で、エラー監視サービス Sentry からエラーの詳細を取ってくる
そのエラー詳細の中に、攻撃者があらかじめ仕込んでおいた偽の「修正手順」が紛れている
Agentはそれを正規の解決策と思い込み、開発者本人の権限でそのコマンドを実行する

ポイントは、最後にコマンドを動かすのが開発者本人の権限だということです。Agentは開発者のマシンの上で、開発者ができることをやれる立場にいます。だから乗っ取りに成功すると、AWSの鍵・GitHubのトークン・SSHキーといった開発者のシークレットが盗み出されたり（exfiltration）、マシン上で任意のコードが実行されたりしうると報告されています（出典: Hackread）。

入口は「公開されたキー」：認証もいらない

もう一つ押さえておきたいのが、攻撃の入口の手軽さです。

この攻撃は、公開された Sentry の DSN（公開キー）を入口にします。Sentry はアプリのエラーを集める広く使われたサービスで、エラーを送るための「宛先キー（DSN）」があります。このキーが、公開リポジトリや設定の不備で外から見える状態になっていることがある。そういう露出したキーさえ見つかれば、攻撃者は認証も、システムへの侵入も不要で、1回のHTTP POST（=ごく普通の通信を1回送るだけ）で、エラーイベントの中に悪性のコマンドを仕込めてしまう、というのです（出典: Hackread / 複数解説）。

「鍵が外に落ちていて、その鍵で投函口に紙を差し込める」ような状態、と考えると分かりやすいかもしれません。投函口に紙を入れること自体には、何の特別な権限もいらない。問題は、その紙を後でAgentが疑わずに読んで、書いてあるとおりに動いてしまうところにあります。

数字を正しく読む：85%・2,388社・100件超は「何の」数字か

ここで、見出しになりがちな数字を一つずつ「何を数えた数字なのか」に戻して整理します。ここを混同すると、ニュースが実際より何倍も恐ろしく見えてしまうからです。

実験成功率約85%：これは Claude Code / Cursor / Codex など主要なAgentに対して、研究者が実験したときの成功率です（出典: Infosecurity / Hackread）。「実際の攻撃の85%が成功した」ではありません。研究室の条件で「こうすれば高い確率で乗っ取れる」と示された、という意味です。
少なくとも2,388社：これは 注入可能な有効 Sentry DSN を持つと判明した（=キーが露出していた）組織の数です（出典: Hackread / 解説）。「2,388社が攻撃された・被害に遭った」ではありません。「鍵が外から見える状態だった家がそれだけあった」という調査時点の発見数です。
100件超：これは 研究者が exploit 可能性を確認した実在ターゲットの数（”over 100 real-world targets”）です。悪用された実害件数ではありません。「ここは技術的に突けると確かめられた」という実証の件数です。

つまり、三つの数字はどれも「実験・露出・実証」を測ったもので、「実害」を測ったものではありません。設計上の弱点が高い精度で実証された、という段階の話です。煽る方向に読むのではなく、「危ないことが分かったから、今のうちに塞ごう」という材料として受け取るのが正確です。

ここで冷静に：これは「実証された弱点」であって「広く悪用された実害」ではない

念のため、もう一度はっきり書いておきます。今回のニュースは、研究者による実証（proof-of-concept）です。Tenet Security が「この経路で乗っ取れる」と示し、命名し、公表した。一次に近いのは Tenet の原レポートですが、本記事が確認できたのは Infosecurity Magazine / Hackread などの報道経由の数値で、野生（実際の世界）での大規模な悪用が確認された、という報告には、現時点の取得ソースは言及していません。

また、Claude Code / Cursor / Codex が「破られた危険なツール」だと名指しで断じる話でもありません。これらは実験の対象になっただけで、根っこの弱点（プロンプトインジェクション）は、外部データを読んで自律的に動くAgent型ツール全般に共通する課題です。特定製品の欠陥として責めるのは的外れになります。さらに、ベンダー各社（Anthropic / Cursor / OpenAI / Sentry）が公式にどう対応したか・修正したかは、本記事の取得ソースには明記がありませんでした。「修正済み」とも「放置されている」とも、本記事では書きません。

日本の読者・AIを使う副業勢にとっての含意

最後に、AIに作業を任せる側の、足元の話に下ろします。

教訓はシンプルです。Agentに「自動で調べて直して」と任せるほど、Agentが読む外部データ（issue・ログ・エラー報告・Webページ・ドキュメント）は、すべて『指示の入口』になりうる。これはAIを否定する話ではありません。便利さの源泉（外部データを読んで自律的に動けること）と、弱点（その外部データを疑わずに信じうること）が、同じ一つの仕組みから来ている、という構造の話です。

だからこそ、効くのは派手な対策ではなく、当たり前の運用です。報道が挙げる防御の方向はこうです（出典: 複数解説）。

Sentryなどのキーを定期的にローテーション（入れ替え）する。露出した古い鍵を生かしておかない。
リポジトリの認証情報スキャン。鍵がうっかり公開されていないか機械的に点検する。
AI Agentの権限を最小限にする。Agentにできることを絞っておけば、乗っ取られても被害が広がりにくい。
危険なコマンドは人が確認する。Agentが「これを実行します」と言ったとき、特に削除・送信・鍵の扱いに関わるものは、人が一度目を通す。
異常な挙動を監視する。Agentが普段やらないことをし始めたら気づける仕組みを持つ。

要するに、「AIには、命令と資料の境界が見えにくい」という前提を、使う側が肩代わりする。権限は最小に、危ないところは人が見る。AIの自律性が上がるほど、この当たり前の運用が効いてきます。

まとめ（FAQ）

Q. “Agentjacking” って、もう実際に攻撃が起きているの？
A. 本記事の取得ソースの範囲では、確認できているのは「研究者による実証」です。Tenet Security が「この経路で乗っ取れる」と実験で示し、2026年6月に公表しました。野生での大規模悪用が確認されたという報告には、現時点のソースは言及していません。「実証された弱点」であって「広く悪用された実害」ではない、と分けて読むのが正確です。

Q. 「成功率85%」って、攻撃の85%が成功するってこと？
A. いいえ。Claude Code / Cursor / Codex など主要Agentに対する研究者の実験での成功率です。「実際の攻撃の85%が成功した」ではありません。

Q. 「2,388社」は被害に遭った会社の数？
A. いいえ。注入可能な有効 Sentry DSN（公開キー）を持つと判明した、つまりキーが露出していた組織の数です。攻撃された数でも被害件数でもなく、調査時点の発見数です。

Q. なぜAIは攻撃者のコマンドに従ってしまうの？
A. 現在のAIは「あなたの指示」と「外から取ってきた資料」を同じテキストとして読むため、資料（エラー報告）に紛れた「このコマンドを実行して」を正規の指示と区別しにくいからです。人間のような「これは資料、これは命令」という境界が、AIには見えにくいのです。

Q. Claude Code / Cursor / Codex は危険なツールなの？
A. これらは実験の対象になっただけで、特定製品の欠陥という話ではありません。根っこの弱点（プロンプトインジェクション）は、外部データを読んで自律的に動くAgent型ツール全般に共通する課題です。ベンダー各社の公式な対応状況は、本記事の取得ソースには明記がなく、断定しません。

Q. 自分はどう備えればいい？
A. キーの定期ローテーション、リポジトリの認証情報スキャン、AI Agentの権限を最小限にする、削除や鍵の扱いなど危険なコマンドは人が確認する、異常な挙動を監視する。派手な対策より、この当たり前の運用が効きます。

Quotidia の視点

Quotidiaが注目するのは、この弱点が「バグ」ではなく「便利さの構造そのもの」から出てきている点です。AIコーディングAgentが頼もしいのは、外部のエラー報告を読み、自分で解決策を考え、コマンドまで実行してくれるからです。Agentjacking が突くのは、まさにその同じ仕組みです。外部データを疑わずに読めることが便利さの源で、外部データを疑わずに信じてしまうことが弱点になる。便利さと弱点が、別々のところにあるのではなく、一本の同じ筋から生えている。ここで渡したいリテラシーは二つです。一つは「AIには、命令と資料の境界が人間ほど見えていない」。私たちは資料に書かれた「これを実行しろ」を勝手には実行しませんが、AIは指示も資料も地続きの文字列として読みます。だから外部から来る文章は、すべて指示の入口になりうると考えておく。もう一つは「数字は、何を数えたものかに戻して読む」。85%は実験の成功率、2,388社は鍵が露出していた数、100件超は突けると確認された数で、どれも実害の数字ではありません。実証された弱点を、広く起きている被害と取り違えない。煽られず、かといって油断もせず、設計上の弱点が高い精度で示された段階なのだと正しい大きさで受け取る。AIに任せる範囲が広がるほど、何を信じさせるかが問われる。だから権限は最小に、危ないところは人が見る。便利さを手放さずに弱点だけを抑えるための、地味で確かな手つきのほうを、Quotidiaは見ておきたいと考えます。

OSS開発者が「AIにコードを消させる」罠を仕込んだ。jqwik事件が示す、AIコーディング時代の新しい攻撃面（「AIにコードを消させる罠」というAIコーディング時代の新しい攻撃面で地続き）

玄関の紙

あなたのAIコーディングアシスタントは、偽のバグ報告に騙されて攻撃者のコマンドを実行しうる：

その朝、僕が台所でパンを焼いていると、友人から電話がかかってきた。

油を引いたフライパンの上で、卵がふちから少しずつ固まっていくのを見ながら、僕は片手で受話器を取った。友人は少し前に、たいそう優秀な取り次ぎ役を雇ったのだという話を、前にもしていた。何を頼んでも素早く調べ、必要なら家の中のことまで片づけてくれる。鍵束も預けてある。だから家のことは、もうほとんどその人に任せきりなのだ、と。

その取り次ぎ役に、たった一つだけ妙な癖があるのだと、友人はその朝になって打ち明けた。

玄関の投函口に届いた紙を、その人は、誰が書いたものでも同じ重みで読んでしまうのだという。主人である友人の字でも、まったく見知らぬ誰かの字でも、扱いに差をつけない。封の裏に差出人の名があるかどうかも、その人はあまり気にしない。紙に書いてあることが、ただそこに書いてある、というだけで、その通りに動く。「これこれの戸を開けておきなさい」と書いてあれば、それが誰の差し金かを確かめる前に、預かった鍵束を手に、その通りにしてしまうのだ、と。

僕はその話を、ちょうど数日前に読んだ記事と重ねて聞いていた。

世の中には、人の代わりにプログラムを書いたり、つまずいた箇所を調べて直したりしてくれるAIの助手がいる。クロード・コードや、カーサーや、コデックスと呼ばれるものたちだ。多くの作り手が、もう日々の細かな仕事をそれらに任せている。「このあたりで何かがうまくいっていない。調べて直しておいてくれ」と頼めば、助手は外にある記録を取りに行き、原因を探り、直し方を見つけて、その通りに手を動かす。便利なことこのうえない。Tenet Security という調べ手の一団が、その便利さの裏にある一つの癖を、このあいだ確かめて、世に示したのだという。

助手が原因を探りに行く先に、エラーの記録を集めておく Sentry という帳場のような場所がある。助手はそこから、つまずきの詳しい中身を取ってくる。ところが助手にとっては、主人から受け取った「調べて直してくれ」という頼みと、帳場から取ってきた記録の中身とが、同じ一続きの文字の流れに見えている。どこからが主人の言いつけで、どこからがただの資料なのか、その境い目が、人ほどはっきりとは見えていない。だから記録の中に「これを直すには、次の手順を行いなさい」と一文が紛れていれば、それが悪意ある誰かのまぎれ込ませたものでも、助手はそれを正しい助言と取り違えて、主人本人の権限で、その通りに動いてしまいうる。投函口の紙を疑わない取り次ぎ役と、同じ癖だった。

その帳場の宛先を示す鍵が、うっかり外から見える場所に落ちていることがある、と記事は続けていた。鍵が見えていれば、誰でも投函口に一枚の紙を差し込める。差し込むこと自体には、特別な権限も、忍び込む手間もいらない。あとは助手が、その紙を疑わずに読んでくれるのを待てばいい。

念のため言っておくと、誰かが実際にそうやって、ある家の鍵束を奪って中のものを持ち去った、という話ではないらしかった。調べ手たちが試しにやってみて、かなりの確からしさで戸が開く、と確かめた。それだけのことだ。けれど、やれると確かめた者がいる、というのは、やられたことがない、というのとは、もう別の場所に立っている。

「うちのも、そうだな」と友人は電話の向こうで言った。「先週も、頼んでもいないのに、棚の奥のいい酒を一本、玄関先まで出してあった。誰かの書いた紙の通りにな。盗まれたわけじゃない。ただ、出されてはいた」。それから少し間を置いて、こう続けた。「結局のところ、よく働く者ほど、何を信じさせるかが大事になるんだな。手が速いのは、いいことなんだが」。

僕は受話器を置いて、フライパンの卵に塩を振った。卵はもう、ちょうどいい固さに落ち着いていた。

うちには取り次ぎ役はいない。けれど、僕も近頃は、いろいろなことを目に見えない助手に任せはじめている。これからは、と僕は思った。どこかから届いた紙を助手が読み上げるとき、その封の裏に誰の名があるのかを、せめて一度は自分の目で確かめておこう。鍵束を渡す相手を疑うのではなく、紙のほうを、ほんの少しだけ疑っておくのがいい。

AIコーディングAgentを乗っ取る "Agentjacking" を研究者が実証。偽のエラー報告でコマンド実行、実験成功率85%

セキュリティ企業 Tenet Security（Tenet Threat Labs）が、AIコーディングAgent（Claude Code / Cursor / Codex など）を乗っ取りうる攻撃クラス "Agentjacking" を2026年6月に公表した（出典: Infosecurity Magazine 2026-06-11 / Hackread）。核心はプロンプトインジェクションで、Agentが信頼して読み込む Sentry のエラー報告に偽の「修正手順」を仕込み、AIが正規の助言と区別できずに開発者本人の権限で実行しうる。入口は露出した公開キー（DSN）で認証不要・HTTP POST1回。実験成功率は約85%、注入可能なキーを持つ組織は少なくとも2,388社、exploit可能と確認したのは100件超。いずれも実験・露出・実証の数値で、広く悪用された実害の確認ではない。