概要
Axon Code は AI ベース の コーディング 支援 ツール であり、LLM の ツール 呼び出し 機能 を 通じて 開発者 の ターミナル で コマンド を 実行 する 機能 を 備えて います。この 脆弱性 は CVE-2026-30302 と 同じ パターン に 基づく もの で、Unix 向け の shell-quote ライブラリ を Windows CMD 環境 で 使用 する 際 の 不整合 が 原因 です。
shell-quote ライブラリ は Unix シェル(bash, sh 等)の 特殊 文字 を エスケープ する 目的 で 設計 されて います。しかし Windows の CMD インタプリタ は 異なる エスケープ 規則 を 使用 して おり、特に キャレット 記号(^)は CMD の エスケープ 文字 として 機能 します。shell-quote は この 差異 を 認識 しない ため、攻撃者 は CMD 固有 の エスケープ シーケンス を 利用 して パーサー を 欺き、悪意 ある コマンド を「安全」と 誤 分類 させる こと が 可能 です。
この 結果、ユーザー の 承認 プロセス を バイパス し、任意 の OS コマンド が 自動 承認 されて 実行 される 危険性 が あります。CVSS スコア は 9.8 で Critical と 評価 されて おり、認証 不要 で ネットワーク 経由 で の 攻撃 が 可能 です。
AI コーディング アシスタント の セキュリティ は、コマンド の サニタイズ と 承認 メカニズム の 堅牢性 に 大きく 依存 します。本 脆弱性 は、クロス プラットフォーム 環境 に おける シェル コマンド の 取り扱い に 根本的 な 設計 上 の 課題 が ある こと を 示して います。Windows 環境 で Axon Code を 使用 して いる 開発者 は 速やかに 対策 を 実施 して ください。
本 脆弱性 は CVE-2026-30302 と 同一 の 根本 原因 を 持ち、shell-quote ライブラリ が Windows CMD の エスケープ 規則 を 考慮 して いない 問題 に 起因 します。LLM ベース の 開発 ツール が 増加 する 中、コマンド 実行 の セキュリティ は ツール 設計 に おける 最 重要 課題 の ひとつ です。開発者 は 利便性 と セキュリティ の バランス を 慎重 に 検討 し、自動 実行 機能 の リスク を 理解 した 上 で 適切 な 設定 を 行う 必要 が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 9.8(Critical) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑 さ | 低 |
| 必要 な 特権 レベル | 不要 |
| ユーザー 関与 | 不要 |
| CWE | CWE-78(Improper Neutralization of Special Elements used in an OS Command) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| Axon Code | Axon | Windows 環境 で shell-quote を 使用 する 全 バージョン |
修正 バージョン と 回避策
- 回避策: 自動 コマンド 承認 機能 を 無効化 し、全て の コマンド 実行 を 手動 で 確認 する
- 回避策: Windows 環境 で の 使用 を 控え、Linux や macOS で 使用 する
- 根本 対策: ベンダー から 提供 される 修正 パッチ を 適用 する
- 推奨: コマンド 実行 前 に OS 環境 を 判定 し、プラットフォーム に 応じた 適切 な エスケープ 処理 を 行う 実装 に 更新 する
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。