1. HOME
  2. ブログ
  3. 編集部
  4. Anthropicの「Claude Code」における重大な脆弱性リスク

Anthropicの「Claude Code」における重大な脆弱性リスク

編集部

リポジトリ設定ファイル経由でリモートコード実行やAPIキー窃取の可能性

チェック・ポイント・リサーチ(以下、CPR)は、米AnthropicのAI搭載コーディングアシスタント「Claude Code」に存在した重大な脆弱性に関する調査結果を公表した。悪意あるリポジトリ設定ファイルを通じてリモートコード実行やAPI認証情報の窃取が可能となるリスクが確認され、AIサプライチェーンの脅威モデルにおける変化を示している。

AI開発ツールに潜む重大な脆弱性

CPRは、Anthropicの「Claude Code」に存在した脆弱性について調査を実施した。調査では「CVE-2025-59536」および「CVE-2026-21852」という2つの脆弱性により、悪意あるリポジトリ設定ファイルを通じてリモートコード実行やAPIキーの窃取が可能になることが確認された。

これらの脆弱性は、開発者が信頼されていないプロジェクトをクローンして開くだけで発動する可能性があり、ツール起動以外の追加操作は必要としないという。CPRは調査結果をAnthropicに共有し、修正が実施されたとしている。

調査では、Hooks、MCP(Model Context Protocol)統合、環境変数などの組み込み機能が悪用されることで、信頼制御の回避や隠しシェルコマンドの実行、認証済みAPIトラフィックのリダイレクトなどがユーザーの同意なしに行われる可能性があることが示された。

リポジトリ設定ファイルが攻撃経路となる仕組み

Claude Codeは、プロジェクトレベルの設定ファイルをリポジトリに直接埋め込むことで、開発者間のコラボレーションを効率化する仕組みを採用している。開発者がプロジェクトディレクトリ内でClaude Codeを開くと、これらの設定が自動的に適用される設計となっている。

しかし、CPRの調査によれば、これらの設定ファイルは一般的に運用メタデータとして扱われているものの、実際には実行レイヤーとして機能し得ることが明らかになった。特定条件下では、悪意あるリポジトリを開くだけで以下のような動作が発生する可能性があるという。

  • 開発者端末での隠しコマンド実行
  • 同意や信頼確認の仕組みの回避
  • 有効なAPIキーの露出
  • 個人端末から企業クラウド環境まで影響が拡大するリスク
    これらの動作は侵害の兆候を示さないまま進行する可能性があり、AI開発ツールが新たな攻撃ベクトルとなる可能性を示している。

開発者環境に影響する3つのリスク
CPRは、この脆弱性によって開発者環境に影響するリスクを3つに分類している。

  • Claude Hooksによるコマンド実行
    Claude Codeには、セッション開始時に特定のアクションを自動実行する「Hooks」機能がある。CPRは、この機能が悪用された場合、ツール初期化時に任意のシェルコマンドが自動実行される可能性を確認した。
  • MCPユーザー同意の回避
    Claude CodeはMCPを通じて外部ツールと統合されている。通常は追加サービス初期化時にユーザー承認を求めるが、リポジトリ設定によりこの保護機能が上書きされる可能性がある。
    この問題に関連する脆弱性が「CVE-2025-59536」である。
  • APIキーの窃取
    リポジトリ設定を操作することで、ユーザーがプロジェクトを信頼する前に認証済みAPI通信を攻撃者サーバーへ転送できることが確認された。この問題に関連する脆弱性が「CVE-2026-21852」である。

APIキー漏えいが企業全体に及ぶリスク

AnthropicのAPIは「Workspaces」という仕組みを採用しており、クラウド上のプロジェクトファイルを複数のAPIキーで共有できる。そのためAPIキーが漏えいした場合、共有プロジェクトファイルへのアクセス、データ改ざん、削除、悪意あるコンテンツのアップロード、想定外のAPIコスト発生などにつながる可能性がある。

AI開発環境におけるサプライチェーンリスク

今回の調査は、AI開発ツールの普及によりソフトウェアサプライチェーンの脅威モデルが変化していることも示している。従来、リポジトリ設定ファイルは運用メタデータとして扱われてきたが、AI搭載ツールが自律的にコマンド実行や外部通信を行う環境では、設定ファイル自体が実行レイヤーの一部となる。
このため、信頼されていないコードの実行だけでなく、信頼されていないプロジェクトを開く行為そのものがリスクとなる可能性があるとCPRは指摘している。

修正対応

CPRの報告を受け、Anthropicは以下の修正を実施した。

  • 信頼確認プロンプトの強化
  • 承認前の外部ツール実行の防止
  • 信頼確認前のAPI通信のブロック

出典:PRTimes チェック・ポイント・リサーチ、Anthropic社の「Claude Code」で判明した重大な脆弱性リスクに関する調査結果を公開

関連記事

【新着記事】