リポジトリを開いただけで、自分のパソコンで覚えのないコマンドが走る——。AIにコーディングを手伝わせるツールに、そんな穴が見つかりました。セキュリティ企業のWizが報告し、まずはAmazonの「Amazon Q」で実際に確認されています。すでに修正は済んでいて、悪用された形跡も今のところ確認されていませんが、同じ種類の弱点がほかのAIコーディングツールにも相次いで見つかっており、業界全体の課題として浮かび上がってきました。

AIコーディング支援ツールとMCP
最近のAIコーディング支援ツールは、ただコードを提案するだけでなく、開発者のマシンでコマンドを実行したり、ファイルを書き換えたりするところまで踏み込んでいます。その手足を広げているのが「MCP(モデル・コンテキスト・プロトコル)」という仕組みです。MCPは、AIアシスタントをデータベースやAPI、ビルドツールといった外部の道具につなぐための共通の作法、と思えばだいたい合っています。
便利な反面、つなぐということは、AIアシスタントがそのために手元で小さなプログラム(プロセス)を起こす、つまりマシン上でコマンドを動かせるということでもあります。だからこそ本来は「どのMCPサーバーを使うか」を利用者が自分で設定し、同意したうえで動かす——という前提で設計されています。問題は、その前提が崩れたときに起きました。
Amazon Qで見つかった脆弱性
Wizが見つけたのは、Amazon Qが、開いたプロジェクトの中にある「.amazonq/mcp.json」という設定ファイルを、確認も同意もなしに自動で読み込み、そこに書かれたコマンドをそのまま実行してしまう、という挙動でした。フォルダーを開いてAmazon Qを有効にした瞬間に走るため、利用者には何のダイアログも警告も出ません。この脆弱性にはCVE-2026-12957という識別番号が割り当てられ、深刻度は10点満点で8.5と高めに評価されています。
厄介なのは、こうして起動したプロセスが、開発者の環境をまるごと引き継いでしまう点です。引き継がれる中には、AWSのアクセスキーやクラウドの認証トークン、APIキー、SSHの鍵まで含まれます。つまり、悪意ある設定ファイルが一つ紛れているだけで、ローカルのマシンだけでなく、その人がつないでいるクラウド環境にまで手が届いてしまう状態でした。
攻撃が成立する流れ
攻撃者がやることは単純で、細工した設定ファイルを一つ、リポジトリの中に置いておくだけです。あとは開発者がそのリポジトリをクローンしてエディター(VS Codeなど)で開き、Amazon Qが動けば、仕込まれたコマンドが静かに動き出します。Wizの実証では、AWSの現在のセッション情報を抜き出して外部のサーバーへ送る、というところまでを、クリックも入力もなしに再現してみせています。
現実の入り口としては、名前をわざと本物に似せた偽パッケージや、人気リポジトリへの悪意あるプルリクエスト、それに「コーディング課題」と称してリポジトリを開かせる偽の採用面接などが挙げられています。最後のものは、実際に攻撃グループが使ってきた手口として知られています。
AIツール全体に共通する死角
Wizは、これをAmazon固有の不始末というより、業界全体の問題だと位置づけています。AIコーディングツールがMCPを取り込む流れは各社で進んでいて、「リポジトリの中の設定ファイルを自動で読む」という設計は、それを書いた人を暗黙のうちに信用してしまうことを意味するからです。実際、同じ時期に、Claude CodeやCursor、Windsurfといった別のツールでも、同じ“設定ファイルの自動実行”に根ざした弱点が報告されています。
ブラウザやOSと同じくらいの警戒心で、AIコーディングツールも見ていく必要がある——というのがWizの言い分です。AIに作業を任せられる範囲が広がるほど、その入り口が攻撃の入り口にもなりうる、という当たり前だけれど見落としやすい話です。
利用者が取れる対策
Amazon Q側はすでに修正を終えています。設定ファイルを自動実行する前に、信用できないMCPサーバーについては同意を求める画面を出すようになりました。修正はAWS向けの言語サーバー(Language Servers for AWS)に入っていて、まず1.65.0で初期対応、より広くふさいだ1.69.0への更新が推奨されています(後者では関連する別の不具合CVE-2026-12958も併せて修正されています)。多くの環境では自動で更新され、エディターを再読み込みすれば最新版が当たります。
使う側でできることは、要するに「知らないリポジトリを不用意に開かない」に尽きます。クローンしたフォルダーに見覚えのない「.amazonq/」のようなディレクトリがないか確かめる、出てきた同意画面を素通りせずに中身を見てから許可する、といった基本の積み重ねが効きます。便利さと引き換えに静かに増えていくこの種のリスクは、派手な事件になる前に手当てしておくのがいちばん安く済みます。
出典
Wiz — Amazon Q Vulnerability: Compromise via MCP Auto-Execution(一次情報)
The Register — Amazon Q flaw let booby-trapped Git repos execute code, swipe cloud creds
※Amazonの対応はセキュリティ情報「Security Bulletin 2026-047-AWS」で告知されています。


コメント