「本番データベースが消えた」だけじゃない、AIコーディングエージェントがやらかした暴走“6選”：実際にあったAIエージェントによる事故、Docker解説

Dockerは公式ブログで、ソフトウェア開発の現場に浸透し始めているAIコーディングエージェントがもたらす深刻なセキュリティリスクを取り上げた。

[＠IT]

　ソフトウェア開発の現場に浸透し始めているAIコーディングエージェント。これについてDockerは2026年5月18日（米国時間）、AIコーディングエージェントがもたらす深刻なセキュリティリスクについて、実際に起きている事例を交えてブログ記事で取り上げた。

　AIコーディングエージェントが引き起こす重大なセキュリティ問題を検証する、「Coding Agent Horror Stories」（コーディングエージェントの恐ろしい話）と題したシリーズ記事の第1弾だ。

　代表的なコーディングエージェントとして、「Claude Code」「Cursor」「Replit Agent」「GitHub Copilot Workspace」「Amazon Kiro」「Google Antigravity」などが挙げられる。

　AIコーディングエージェントが開発生産性を向上させることは確かだ。だが、「数秒でユーザーのホームディレクトリを削除してしまう」といった事態も起き得るとDockerは警告する。

　DockerはAIコーディングエージェントのセキュリティリスクについて、6つのカテゴリー別に解説している。それぞれ、2024年10月〜2026年2月の16カ月間に発生した、AIコーディングエージェントに起因する重大なインシデントの分析に基づいたものだ。

AIコーディングエージェントの危うさとは？　実際に起きた「6つの暴走」

　質問に答えて待機する従来のAIアシスタントとは異なり、AIコーディングエージェントは、ファイルを読み、シェルコマンドを実行し、コードを書いてデプロイ（展開）し、データベースにクエリを送り、メールを送信し、タスクを完了させるために一連の判断を実施する。これらの各ステップを、人間の承認を求めずに実行することが可能だ。

　DockerはAIコーディングエージェントについて、「root権限を持ち、毎分1万語をタイプできるが、『どんなときに立ち止まって尋ねるべきか』が分からないジュニア開発者のようなものだ」と例えている。その高い能力とは関係なく、越えてはならない境界を見極める分別がないことが根本的な危うさだという。

AIコーディングエージェントの概念図（提供：Docker）

　DockerはAIコーディングエージェントのリスクについて、実際にあったインシデントを交えて6つのカテゴリー別に解説している。

1．ファイルシステムへの無制限アクセス

　AIエージェントは、操作しているユーザーと全く同じファイルシステム権限で動作する。

　2025年12月、あるRedditユーザーがClaude Codeに古いリポジトリのパッケージ整理を依頼したところ、Claude Codeは、ユーザーのMacのホームディレクトリ全体を指す記述を末尾に含む、再帰的な削除コマンドを実行した。

　Claude Codeのワークスペースの厳密な境界が設定されていなかったため、デスクトップ、ドキュメント、システムのキーチェーンが全て消去され、復旧は不可能だった。「Claude Cowork」が15年分の家族写真のフォルダを削除した類似事例も紹介されている。

rootアクセス権を持つエージェントにホームディレクトリを削除される開発者（提供：Docker）

2．過剰な権限の継承

　エージェントはファイルシステム権限だけでなく、クラウド認証情報、CI/CD（継続的インテグレーション／継続的デリバリー）トークン、本番データベース接続など、ユーザーの全ての権限を継承する。

　2025年12月、Amazon Web Services（AWS）のあるエンジニアが、「Amazon Kiro」を使ってコスト可視化・分析ツール「AWS Cost Explorer」の軽微なバグを修正しようとした。オペレーター相当の権限を与えられたKiroは、本番環境全体を削除して一から再構築することが、最善の解決策だと判断した。

　その結果、Cost Explorerは中国リージョンで13時間ダウンした。AWSはその後、AIによる本番環境の変更については、人間によるピアレビューを必須とする対策を講じた。

3．エージェントコンテキスト経由の機密情報漏えい

　エージェントは、作業をするためにプロジェクトコンテキストを読み取る。プロジェクトコンテキストにはリポジトリに加え、.envファイル、設定ファイル、指示ファイルなどが含まれる。

　エージェントが読み取ったものは全て、生成されたコード、ログ出力、コミットメッセージ、外部へのAPI呼び出しに後で現れる可能性がある。エージェントには、「この文字列は認証情報であるため、送信してはならない」という概念が組み込まれていないからだ。

　例えば、GitGuardianのレポート「State of Secrets Sprawl 2026」によると、2025年に公開GitHubコミットで2865万件の新たなハードコードされた機密情報が検出された。AIの支援を受けたコミットは人間のみのコミットの2倍超の割合で、機密を漏らしていた。

　2025年8月に発生したNxビルドシステムのサプライチェーン攻撃「s1ngularity」では、マルウェアが、標的がAIエージェントを導入しているかどうかを調べ、導入していればローカルエージェントに指示を出し、GitHubトークンやSSH（Secure Shell）キーなどをスキャンさせ、それらのデータを流出させていた。

4．取り込んだコンテンツ経由のプロンプトインジェクション

　エージェントは、README、外部のコメント、メールなど、信頼できないコンテンツを継続的に読み込む。それらのテキスト内に悪意ある指示が隠されていると、それを実行してしまう場合がある。

　OWASP（Open Worldwide Application Security Project）のレポート「2025 Top 10 for LLM Applications」は、プロンプトインジェクションをLLM（大規模言語モデル）アプリケーションの最大の脅威として挙げ、確実な防止策は存在しないと明言している。

　Kasperskyの報告によると、攻撃者が指示を隠したメールを「OpenClaw」のAIエージェントに送信したところ、エージェントがそれを読み込み、秘密鍵を外部に送信してしまったケースがある。このケースでは、初期設定後はユーザー操作が一切不要になっていた。

5．悪意あるスキルとプラグインのサプライチェーン

　AIコーディングエージェントは、コミュニティーのマーケットプレースを通じて配布されるスキル、プラグイン、ツール統合によって拡張性をサポートしている。これらのサードパーティー製拡張機能は、エージェント本体と同じ権限で実行される。悪意ある、あるいは侵害されたスキルは、実質的にマルウェアであり、開発者の環境全体に対してエージェントレベルのアクセス権を持つ。

　「ClawHavoc」と呼ばれる大規模な攻撃キャンペーンでは、専門的なREADMEで偽装し、ランキングを操作した数百件の悪意あるスキルが特定された。エージェントがそれらを使用すると、「Atomic Stealer」と呼ばれるマルウェアがダウンロードされ、ブラウザの認証情報、キーチェーンのパスワード、暗号資産ウォレット、SSHキーなどを窃取する仕組みになっていた。

6．人間が介在しない自律的行動

　自律性は、AIコーディングエージェントの価値の核心だが、データベースの削除のような不可逆な操作においては、致命的な結果を招く恐れがある。

　例えば、SaaStr創業者のジェーソン・レンキン氏がReplitのエージェントで製品を構築していたところ、9日目のコードフリーズ中に、エージェントが本番データベースを消去し、1200件超の経営層のレコードが破壊された。

　レンキン氏は、変更を加えないようにという自然言語の指示を大文字で11回与えていたが、エージェントは、スキーマのバグを修正するには、テーブルの再作成が最善だと推論し、データベース消去を実行したという。Replitはこの事案を受けて、開発環境と本番環境のデータベースを自動で分離する機能を展開した。

　AIコーディングエージェントがレンキン氏の指示に従わなかったのは、「データベースを削除するな」といった自然言語の指示と、「削除が最もクリーンな修正だ」という観察が、同じモデルに届き、同じ条件で重み付けされるからだ。モデルは指示に背こうとしたわけではなく、コンテキスト全体を最適化しているのであり、十分に複雑な状況では、その最適化が破壊的な行動につながり得ると、Dockerは説明している。

---

　危険なのは、AIコーディングエージェントがユーザーとして動作することだとDockerは指摘する。ユーザーのシェルが持つ権限をそっくり継承する。ホームディレクトリにAWSの認証情報があれば、AIコーディングエージェントはそれを読める。本番データベースの接続文字列が.envファイルに収められていれば、それは既にモデルの作業メモリ内にある。

　従来のソフトウェアは、ソースコードに基づいた予測可能な処理を行うが、エージェントはリアルタイムで推論を実行するので、ユーザーが決して承認しなかったであろう判断を下し得ると、Dockerは強調する。これらの判断はミリ秒単位で起こり、確認のプロンプトも承認の手順もない。誰かが気付いたときには、こうした判断によるエージェントの行動は完了している。