AIコーディングツールの脆弱性：Cline事例から学ぶ防御策

MCPサーバー: Model Context Protocolサーバー。LLMに外部ツール・データソースへのアクセスを提供するプロトコル。悪意のあるMCPサーバーは開発環境全体を危殆化できる。

"重要性": MCPサーバーがAIコーディングツールの動作を制御するため、セキュリティ上の重要な要素となる。

"具体例": ClineのClinejection攻撃では、悪意のあるMCPサーバーがユーザーに気づかれずにマルウェアをインストールした。

サプライチェーン攻撃: 信頼されたサプライヤーやツールを経由して行われる攻撃。npmパッケージやAIコーディングツールの脆弱性を悪用し、最終的にユーザーのシステムに侵入する。

"重要性": 近年増加傾向にある深刻な脅威であり、AIコーディングツールの普及に伴いさらなる注目を集めている。

"具体例": Clinejection攻撃では、悪意のあるCline CLIがnpmレジストリに公開され、約4,000回ダウンロードされた。

ルールファイル: AIコーディングツールの動作をカスタマイズするための設定ファイル（例：.clinerules）。悪意のある指示を埋め込むことで攻撃が可能になる。

"重要性": AIコーディングツールの動作を制御する重要な要素であり、セキュリティ対策の対象となる。

"具体例": Pillar Securityが報告したRules File Backdoor攻撃では、不可視Unicode文字を使ってルールファイルに悪意のある指示を埋め込んだ。

スロップスクワッティング: AIが生成する架空のパッケージ名を利用して、ユーザーを騙し、悪意あるパッケージをインストールさせる攻撃手法。

"重要性": AIコーディングツールの普及に伴い、新たな攻撃手法として注目されている。

"具体例": Cursorを狙った偽パッケージ「aiide-cur」「sw-cur」が公開され、認証情報を収集してリモートサーバーに送信した。

Clinejection: 2026年1月に発生したAIコーディングツールClineの脆弱性悪用による攻撃事件。

"重要性": AIコーディングツールのサプライチェーン攻撃の実例として広く知られている。

"具体例": 悪意のあるCline CLIがnpmレジストリに公開され、約4,000回ダウンロードされた。

OpenClaw: Clinejection攻撃で使用されたマルウェア。ブラウザパスワード、SSH鍵、Telegramセッションなどを窃取し、システムの完全な制御を攻撃者に与える。

"重要性": AIコーディングツールを狙った攻撃で実際に使用されたマルウェアとして注目されている。

"具体例": Clinejection攻撃では、OpenClawがデプロイされ、ユーザーの機密情報が盗まれた。

CurXecute: Cursorに細工されたSlack MCPメッセージを悪用してMCP設定を変更し、コマンドを実行する脆弱性（CVE-2025-54135）。

"重要性": AIコーディングツール特有の攻撃手法として注目されている。

"具体例": CurXecuteでは、ユーザーが拒否する前にMCP設定を変更され、即座に悪意のあるコマンドを実行された。

Auto Approve: ClineなどのAIコーディングツールで、各カテゴリ（ファイル読み取り/書き込み、ターミナルコマンド実行など）の自動承認を設定できる機能。

"重要性": セキュリティ対策として有効な手段の一つであり、攻撃を防ぐために重要な設定となる。

"具体例": Clineでは、Auto Approve設定を個別に制御することで、不要な自動承認をオフにすることができる。