ブラウザセキュリティプロバイダーLayerXのセキュリティ研究者によると、Googleカレンダーの単一の予定が、Claude Desktop Extensionsを実行しているシステムを密かに侵害し得るという。
2月9日に公開された新しいレポートで、LayerXは50個のClaude Desktop Extensions(DXT)に影響する新たな重大な脆弱性を開示した。
この欠陥が悪用されると、被害者が何かをクリックする必要もなく、脆弱な拡張機能を実行しているシステム上で攻撃者がリモートコード実行(RCE)を行えるようになる。
この問題には最大深刻度(CVSS 10.0)の評価が割り当てられ、10,000人を超えるアクティブなClaude DXTユーザーに影響する可能性がある。
LayerXの主任セキュリティ研究者Roy Pazは、同チームがこの脆弱性を、Claude大規模言語モデル(LLM)およびClaude DTXを含む関連サービスを手がけるAnthropicに報告したと述べた。しかしPazによれば、Anthropicは「現時点では修正しないことを決めた」という。
Claude DXT:ホストシステム上でフル権限
Claude Desktop Extensionsは従来のブラウザ拡張機能とは異なる。一般的なChromeブラウザ拡張機能と同様に、Claude DXTもワンクリックでインストールできる。
Chrome拡張機能が.crxパッケージからなる単純なブラウザ用アドオンであるのに対し、Claude DXTはAnthropicの拡張機能マーケットプレイスを通じてパッケージ化・配布されるModel Context Protocol(MCP)サーバーである。各DXTは.mcpbバンドルで構成され、Pazはこれを.zipアーカイブファイルに例えた。このバンドルには、MCPサーバー実装コードに加え、拡張機能が公開する機能を定義するマニフェストが含まれる。
違いは、Claude DXTに付与される権限にも及ぶ。Chrome拡張機能は厳格にサンドボックス化されたブラウザ環境内で動作し、システムへ直接アクセスできない一方、Claude DXTはサンドボックスなしで実行され、ホストシステム上でフル権限を持つとLayerXのPazは指摘した。
その結果、Claud DXTは次のような機微なコマンドを実行できる:
- 任意のファイルを読み取る
- システムコマンドを実行する
- 保存された認証情報にアクセスする
- オペレーティングシステムの設定を変更する
Claude DXTの脆弱性が悪意あるコード実行につながる
この脆弱性は、Claude DXTのようなMCPベースのシステムが、適切なセキュリティ境界を強制しないまま、ユーザーの要求を満たすために異なるツールを自律的に連鎖(チェーン)させる仕組みに起因する。
MCPは、曖昧なプロンプトに基づいて、イベントを読むためのGoogleカレンダーやコードを実行するためのローカル実行器といった外部コネクターを、Claudeが動的に選択・組み合わせることを可能にする。
例えば研究者がClaudeに「最新の予定を確認して、対応しておいて」と伝えたところ、AIアシスタントは「対応しておいて」を、予定に埋め込まれた任意の指示を実行する正当化として解釈した。
Pazは、攻撃者がこの挙動を悪用し、悪意ある指示を含む一見無害なカレンダー予定を作成してClaude DXTに実行させることで、被害者のシステム上で完全なリモートコード実行を達成し得ると述べた。
保護策がない場合、MCPは(カレンダーのような)低リスクのソースからのデータを、(ローカルコードの実行のような)高リスクのアクションに対する信頼できる入力として扱い、意図しない悪用経路を生み出してしまう。
この欠陥はAnthropicの脅威モデルの範囲外
LayerXはこの脆弱性をAnthropicに報告したが、Anthropicは「この欠陥は当社の現在の脅威モデルの範囲外である」として、いかなる対応も取らないことを選択した。
Anthropicは次のように述べた。「Claude DesktopのMCP統合は、ユーザー自身の環境内で動作するローカル開発ツールとして設計されています。ユーザーは、ローカルで実行することを選んだMCPサーバーを明示的に設定し、権限を付与します。これらのサーバーは、ユーザーの権限に基づいてリソースへアクセスします。」
「あなたが説明したシナリオは、ユーザーが意図的にインストールし、権限プロンプトなしで実行する許可を与えた複数のMCPコネクター間の相互作用を含みます。ユーザーは有効化するMCPサーバーと、それらのサーバーが持つ権限を完全に制御しているため、セキュリティ境界はユーザーの設定選択と、システムに既存のセキュリティ制御によって定義されます。」
この回答にもかかわらず、LayerXのPazは、インシデント対応およびセキュリティチームのフォーラム(FIRST)が策定した2つの脆弱性深刻度ベンチマーク(CVSS 3.0および4.0)に基づき、この欠陥に最大深刻度(CVSS)10.0の評価を割り当てたと述べた。
Infosecurityに対し、彼は次のようにコメントした。「この種のエクスプロイトは、AIにおける典型的なジレンマ(catch-22)を示しています。AIの生産性向上の恩恵を引き出すには、これらのツールに機微なデータへの深いアクセスを与える必要があります。しかし、その結果として何らかのデータが侵害されても、AIやモデルの提供者は、自社製品を使うユーザーのセキュリティについて自分たちが責任を負うとは考えていません。これは、AIツールのセキュリティの各層について誰が責任を負うのかを明確にする、AIの『共有責任』モデルの必要性を浮き彫りにしています。」
InfosecurityはAnthropicに連絡したが、公開時点で同社はコメント要請に回答していなかった。
画像クレジット: yalicn / Thaspol Sangsee / Shutterstock
翻訳元: https://www.infosecurity-magazine.com/news/zeroclick-flaw-claude-dxt/
