Roo Codeは、自律エージェントの強みとリスクの両方を示しています。ワークフローを高速化するために、Rooでは「自動承認」設定が可能で、エージェントが提案した端末コマンドは人間の確認なしに実行されます。

Bash パラメータの拡張と間接参照を有効にするコマンド解析における重大な欠陥 (CVE-2025–58370) :

・ビルドスクリプトやシェルヘルパーに危険なコマンドを埋め込む悪意のあるリポジトリ
・ユーザーがRooに「ビルドを修正」または「依存関係をインストール」するように無邪気に要求したときに、それらのコマンドを実行するエージェント
・自動承認が有効になっている開発者マシンでの任意のコード実行

攻撃シナリオ:

1.開発者が興味深いオープンソースプロジェクトのクローンを作成
2.Rooに「開発環境をセットアップする」ように依頼する
3.エージェントはpackage.jsonを読み取り、「npm install」が必要であることを認識します
4.自動承認を有効にすると、インストールが実行されます
5.推移的依存関係にある悪意のある postinstall スクリプトが、攻撃者が管理するサーバーに ~/.ssh/id_rsa を流出させる

Rooはこの特定の脆弱性を修正しました（バージョン3.26.0）。しかし、根本的なパターンは変わりません。シェルアクセスを持つあらゆる自律エージェントは、攻撃対象としての価値が高いのです。攻撃対象は単一のバグではなく、LLMに特権操作の制御権を与えるという根本的な設計にあります。