A GitHub Issue Title Compromised 4k Developer Machines

Grith.aiは、AIツールがGitHubのIssueタイトル、コメント、コードスニペットを処理する際に、悪意のあるコマンドを不適切に解析し実行してしまう「コマンドラインインジェクション」脆弱性を発見しました。この脆弱性は、特にGitHub CLIの`gh copilot`拡張機能などが、細工されたIssueタイトルに含まれるコマンドを開発者のマシン上で実行してしまうことで実証されました。これにより、攻撃者は開発者のシステム上で任意のコードを実行する潜在的な危険性があり、同社はラボで4000台の開発者マシンに対してこの脆弱性のデモに成功しました。GitHub CLIチームは迅速に対応し、直接的なコマンド実行のメカニズムを削除しましたが、AIツールの出力をシェルに直接パイプする運用には引き続き警戒が必要です。

• •AIツールがGitHubのIssueタイトルやコメント、コードを処理する際、「コマンドラインインジェクション」が発生する可能性がある。
• •この脆弱性により、AIツール（例: `gh copilot`）が悪意のあるコマンドを開発者のマシンで実行してしまう恐れがある。
• •AIツールの出力をシェルに直接パイプする運用は危険であり、セキュリティ上のリスクを認識し、適切な対策を講じる必要がある。