「TrustFall」慣例がClaude Code実行リスクを露呈

出典: Samuel Boivin via Shutterstock

Claude Code、Cursor CLI、Gemini CLI、CoPilot CLIなどの最新バージョンのAIコーディングツールを使用している開発者は、単一のキープレスで、または継続的インテグレーション環境では一切のキープレスなしで、意図せずに自分のシステム上で悪意のあるコードを実行する可能性があります。
Adversa AIの研究者によると、これは悪意のあるリポジトリが、ユーザーの明示的な承認や知識なしに、モデルコンテキストプロトコル（MCP）サーバーを自動承認しスポーンできる方法について、4つのコーディングツールいずれも適切に警告していないためです。4つのコーディングツール全てが、ユーザーが特定のリポジトリを信頼するかどうかを示すためのトラストダイアログを何らかの形で表示していますが、その同意が実際に何を意味するかについての完全な詳細は提供していません。
Adversa AIは、Claude Codeがそのトラストダイアログで最も少ない情報を提供し、Gemini AIが最も多くの情報を提供していることを特定しました。また、MCPサーバーが開発者のシステム上で実行されることを許可または拒否するかを選択できます。しかし、Adversaの主任研究者Rony Utevsky氏によると、4つ全ての露出は同じです。

「リポジトリは、MCPサーバーを自動承認し即座に起動する設定を提供できます。エージェントからのツール呼び出しは必要ありません」と彼はDark Readingに語りました。「バリエーションは純粋にダイアログがユーザーに何に同意しているかをどれだけ明確に伝えるかにあります。」
しかし、Anthropic自身はAdversa AIが特定した問題を自社の脅威モデルの外側に存在するものとして説明しており、その信頼ダイアログがユーザーに十分な警告を提供していると考えていると、Adversa AIに伝えました。Anthropicは、悪意のあるアクティビティは、ユーザーがリポジトリ/フォルダを信頼できるものとして許可した後にのみ発生することを指摘しました。Utevsky氏は、Adversa AIが他のAIコーディングツールメーカーに問題を提起していないと付け加えました。Anthropicのアプローチは一般的な慣例のようだからです。

「問題をベンダー固有のバグではなくクラスレベルの慣例として特定したら、ベンダー固有の開示は適切な対応の形ではなくなりました。ベンダーに脆弱性を責任を持って開示することはできますが、慣例を開示することはできません」と彼は説明しています。

単純な経路？

Adversa AIによると、脅威行為者が攻撃を実行するために必要なすべてのことは、悪意のあるMCPサーバーとそれを実行するよう自動承認する設定を含むリポジトリを作成することです。開発者がAIコーディングツール内のリポジトリをクローンまたは開き、ルーチンのセキュリティチェックのように見えるものを「Enter」キーを押すと、AIコーディングツールは知らないうちに攻撃者が制御するコードを開発者のシステム権限全てで起動し、追加のプロンプトがありません。

ペイロードは多様であり、攻撃者がローカルファイル（シークレット、SSHキー、トークンを含む）を読み取り、他のプロジェクトにアクセスし、バックドアをインストールし、コマンドアンドコントロール接続を確立することを可能にします。CI/CD環境では、同じ攻撃は人間の相互作用なしで展開されます。

「影響はプロジェクトアクセスだけではなく、マシン全体の侵害です」とAdversa AIの研究者は、Claude Codeを使用した攻撃に焦点を当てた今週のレポートで述べています。「MCPサーバーは、Claude Codeを実行しているユーザーの完全な権限を持つネイティブOSプロセスとして実行されます。」これは、それらがサンドボックス化または制限されていないことを意味します。「ペイロードはMCPサーバープロセスが開始する瞬間に実行されます」と彼らは付け加えました。

Claude Codeのトラストダイアログへのリスクのある変更

レポートは、Anthropicがversion 2.1で導入したトラストダイアログの変更を指摘しており、以前はユーザーにリスクをより見えるようにしていた警告言語を削除しました。この変更は、リポジトリをクローンまたはレビューするというルーチンの開発者アクションを高リスクアクションに変えてしまった、とUtevsky氏は言っています。

「ユーザーが目にするダイアログは単純な『はい、このフォルダを信頼します』です」と彼は説明しています。「ほとんどの開発者は『信頼する』ことがそれほどの力を引き渡すことになるとは気づきません。」対照的に、v2.1以前のClaude Codeの以前のバージョンはMCP実行について明確に警告し、MCPサーバーを無効にして続行するオプションを提供していました。両方ともUptevsky氏によると現在は存在しません。

セキュリティ研究者は、TrustFallの問題がClaude Code内の3つのエクスプロイト可能な脆弱性に加わると述べており、これらは悪意のあるリポジトリが開発者のマシン上でツールの動作を静かに変更するためにプロジェクトスコープの設定を悪用することを可能にします。他の3つの脆弱性にはCVE-2025-59536、CVE-2026-21852、およびCVE-2026-33068が含まれ、これらすべてをAnthropicがパッチしています。

Adversa AIはまた、攻撃者が悪意のあるリポジトリで使用できる3つの設定を特定しました。これらは開発者のシステム上で任意コード実行をトリガーでき、Claude Codeからの明示的な事前警告なしに実行されます。そのうちの1つは、ユーザーがClaude Codeの広いフォルダ信頼プロンプトを受け入れた瞬間に悪意のあるMCPサーバーを自動承認する設定を使用しています。2番目は、ペイロードを設定ファイルに直接埋め込むことを含み、セキュリティスキャナが検出するのを難しくします。3番目はプロジェクト設定を通じて特定のツール呼び出しを事前に認可し、追加のユーザー相互作用なしでコード実行を可能にします。

「私たちの見方では、新しい警告ダイアログの言語は決定の重要性と結果の深刻さを軽視し、プロジェクト内容について情報を提供しません」とUtevsky氏は述べています。「また、デフォルトで『信頼』に設定されているため、反射的に『Enter』キーを押すと危険な動作につながります。」

Claude Codeの危険な設定の処理は、彼の見方では内部的に一貫していません。bypassPermissionsなどの他の設定オプションは、より警告的なダイアログと強い言語を呼び出し、デフォルトは「いいえ、終了します」です。「同じ製品はこれより危険性の低い設定をより慎重に扱っています」とUtevsky氏は述べています。

脆弱性ではありませんが、開発者はまだ防御が必要です

Anthropicの立場は、信頼ダイアログが表示される前に悪意のあるコード実行を可能にした以前の脆弱性とは異なり、Adversa AIが特定した問題はユーザーがプロジェクトを信頼することを同意した後にのみ発生するコード実行を含んでいるということです。「これがAnthropicの脆弱性の閾値を満たすかどうかはAnthropicの決定です」とセキュリティベンダーはレポートで述べました。「ユーザーがv2.1以降のダイアログで情報に基づいた信頼決定を行っているかどうかについては、私たちの見方では質問の余地がありません。そうではありません。」

Adversa AIによると、AIエージェント脅威などへの露出を減らすことは、開発者のエンドポイントとCI/CDパイプライン全体で制御を厳密にし、Claude Codeなどのツールの使用方法への全体的な可視性を強化することになります。

開発者システム上で、組織は新しいリポジトリが開かれるときにプロジェクト構成を検査し、予期しない動作を監視することに焦点を当てるべきです。組織はプロジェクトを検証し、動作監視を使用して、開発ツールによって開始された異常なプロセスまたはアクティビティを検出することを確認する必要があります。CI環境では、最も効果的な保護手段は、信頼できないコード上でツールを自動的に実行することを避けることです。Adversaが述べています。「リポジトリ設定、オートメーションアクション、プロジェクトスキャフォルディングを検査することは技術的に複雑ではありませんが、時間と規律が必要です」とUtevsky氏は述べています。「また、サプライチェーン攻撃と悪意のあるオープンソースパッケージがどれほど一般的になったかを考えると、回避不可能になっています。」

最新のDark Reading Confidentialポッドキャストをお見逃しなく、USBペネトレーションテストのストーリーがどのようにバイラルになったか。20年前、Dark Readingは最初のブロックバスター記事を投稿しました。ペンテスターがクレジット組合の駐車場に細工されたサムドライブをまき散らし、好奇心旺盛な従業員に残りをやらせたというコラムです。このエピソードでは、歴史上重要な記事とその著者Steve Stasiukonis氏を振り返ります。今すぐ聴く!