AI駆動型コーディングアシスタントであるAnthropicのClaude Codeに、深刻なリモートコード実行(RCE)脆弱性が発見されました。この脆弱性は2026年5月12日に、0day.clickのセキュリティ研究者Joernchen氏によって公開されました。
この脆弱性により、攻撃者は細工されたclaude-cli://ディープリンク経由で、シェルコマンドを含む任意の設定を被害者のClaude Codeインスタンスに注入することができました。この脆弱性はClaude Codeバージョン2.1.118で修正されています。
この一見すると軽微な見落としは、claude-cli://open URIに対するClaude Codeのディープリンクハンドラーと組み合わせると、深刻な結果をもたらしました。
細工されたJSONペイロードを設定に注入することで、攻撃者はセッション開始時にコマンドを実行する正当なClaude Code機能であるSessionStartフックを登録して、任意のシェルコマンドを実行することができました。
macOSを対象とした概念実証のディープリンクは次のようなものでした:
このURLを開くと、リンクをクリックするだけで、ユーザーの操作なしに計算機アプリを静かに起動し、システムの識別情報をディスクに書き込みます。
攻撃はさらに危険になりました。二次的な問題により、Claude Codeのワークスペース信頼ダイアログを完全にバイパスできるとセキュリティ研究者Joernchen氏は述べています。
Anthropicはバージョン2.1.118でこの脆弱性に対処しました。フラグ/引数のコンテキストを追跡せずに完全なコマンドラインアレイに対してstartsWithを使用する根本的なアンチパターンは、典型的なインジェクションベクトルです。
適切なCLIフラグパースは、常に各引数を完全なコンテキストで評価し、フラグとそれに関連する値を区別する必要があります。
まだ古いバージョンのClaude Codeを実行しているユーザーは、すぐにアップデートする必要があります。セキュリティチームは、同様のインジェクションリスクがないか、性急なまたはコンテキストフリーのCLIパースを実行する内部ツールも監査する必要があります。
翻訳元: https://cyberpress.org/claude-code-rce-vulnerability/