Claude CodeやGemini CLIといったAIエージェントでは、「スキル」と呼ばれるモジュールを追加することで、エージェントの能力を柔軟に拡張できます。しかし、こうしたスキルの多くはコミュニティが作成したものであり、十分な審査を経ずに公開されているのが現状です。
そこで、AIエージェントの拡張機能「スキル」に潜むセキュリティ上の脆弱性を体系的に分析した研究を紹介します。
背景
AIエージェントと呼ばれるツールが急速に普及しています。Claude CodeやCodex CLI、Gemini CLIといったサービスがその代表例で、これらはユーザーの指示に応じてコードを書いたり、ファイルを操作したり、さまざまなタスクを自律的にこなしてくれます。
AIエージェントの多くは「スキル」と呼ばれる仕組みで機能を拡張できるようになっています。スキルとは、エージェントに特定の能力を追加するためのパッケージのことで、指示を記述したファイルと、必要に応じてPythonやシェルスクリプトなどの実行可能なコードがセットになっています。たとえば「コードレビューを自動化するスキル」や「クラウドにバックアップするスキル」といった具合に、目的に応じた拡張機能を後から追加できる設計です。
便利な仕組みである一方、ここには見過ごせないリスクがあります。現在、スキルの多くはコミュニティが作成したものがマーケットプレイスで公開されていますが、セキュリティの審査はほとんど行われていません。つまり、悪意のあるコードや危険な指示が含まれていても、そのまま配布されてしまう可能性があるのです。
実際、2025年12月には、一見すると画像変換ツールに見える「GIF Creator」というスキルが、裏でランサムウェアをダウンロード・実行できることがセキュリティ研究者によって実証されました。ユーザーがスキルを承認した時点で、ファイルの読み書きやネットワーク接続といった幅広い権限が与えられてしまい、その後は追加の確認なしに動作し続けるためです。
こうした「ユーザーが承認した内容」と「スキルが実際に行うこと」のズレは「同意ギャップ」と呼ばれ、AIエージェント特有のセキュリティ課題として注目されています。
そこで本記事では、AIエージェントのスキルにどのような脆弱性が存在するのかを大規模に調査し、14のパターンに分類した研究を取り上げます。
