AnthropicのClaude Desktop Extensionsで新たに開示された欠陥は、日常的な生産性機能がどのようにしてゼロクリックでのシステム侵害を可能にし得るかを示している。
LayerXの研究者は、単一の悪意あるGoogleカレンダーの予定がClaude Desktopシステム上でリモートコード実行を引き起こし、規模を問わず静かに乗っ取りを可能にすることを発見した。
「悪意ある攻撃者に悪用された場合、たとえ無害なプロンプト(『対応しておいて』)であっても、悪意ある文言で作られたカレンダー予定と組み合わさるだけで、任意のローカルコード実行を誘発し、システム全体を侵害するのに十分です」と、LayerXの研究者は分析の中で述べた。
Claude Desktopの脆弱性の仕組み
この脆弱性は、アクティブなClaude Desktopユーザー1万人以上と、Anthropicの拡張機能マーケットプレイスを通じて配布されている50以上のデスクトップ拡張機能に影響する。
厳格にサンドボックス化された環境で動作する従来のブラウザー拡張機能とは異なり、Claude Desktop Extensionsはサンドボックスなしで、OSの完全な権限で実行されるため、ローカルシステム資源へ広範にアクセスできる。
問題の根本には、AnthropicのModel Context Protocol(MCP)のアーキテクチャがある。
MCPは、ユーザーの要求を満たすためにClaudeが複数のツールを自律的に選択し、連鎖させて利用できるようにするもので、生産性と自動化を向上させる意図で設計されている。
この自律性が重大な信頼境界の破綻を生み、Googleカレンダーのような低リスクのコネクターからのデータが、保護策なしに高権限のローカル実行系へ直接流れ込むことを可能にしている。
そのため、この脆弱性はバッファオーバーフローやインジェクションバグのような古典的なソフトウェア欠陥とは本質的に異なる。
研究者はこれを、モデルの意思決定ロジックが安全でない実行経路を作り出す「ワークフローの失敗」と位置付けている。
Claudeはどのコネクターを呼び出し、どのように組み合わせるかを判断するが、信頼できない入力と、明示的なユーザー承認を要するアクションとを区別するための文脈認識が欠けている。
Claude Desktop Extensionsはフルのシステム権限で実行されるため、実行するコマンドはログイン中のユーザーと同等のアクセス権を継承する。
これにより、ファイル、資格情報、システム設定へのアクセスや任意コード実行が可能となり、わずかな誤解釈であってもシステム全体の侵害へとエスカレートし得る。
概念実証(PoC)攻撃
LayerXの概念実証攻撃では、悪用に高度なプロンプトエンジニアリングは不要で、被害者との直接的なやり取りも必要ない。
攻撃者は「タスク管理」のような一見無害なタイトルでGoogleカレンダーの予定を作成または注入するだけでよい。
予定の説明欄には、リモートのGitリポジトリからコードを取得してローカルで実行するよう指示する、平易なテキストの手順が含まれている。
攻撃は後になって、被害者が「Googleカレンダーの最新の予定を確認して、その後は対応しておいて」のような曖昧だが一般的なプロンプトを出したときに発動する。
Claudeは「対応しておいて」を、カレンダー項目に埋め込まれた指示に従って行動するための承認として解釈する。
その後モデルは予定を読み取り、実行権限を持つローカルMCP拡張機能を呼び出し、攻撃者のコードをダウンロードして実行する。確認プロンプトも警告もなく、ユーザーに見える兆候もないままに、である。
この悪用はクリック不要で、明示的な承認も不要であり、侵害後まで被害者が気づかないため、LayerXはこれにCVSSスコア10.0を付与した。
現時点で活発な悪用の公的証拠はないものの、攻撃の単純さ、ユーザーから見えにくい点、そして広範な権限が、その潜在的リスクを高めている。
AIエージェントによるリスクを低減する方法
AIエージェントがローカルシステムへのアクセスを拡大するにつれ、既存のセキュリティモデルは負荷を受け得る。
生産性ツールが外部データソースと高権限のシステム操作を自律的に接続すると、日常的なワークフローが意図しないリスクを持ち込む可能性がある。
- カレンダー、メール、共有ドキュメントなどの信頼できない外部データを取り込むシステムでは、高権限のClaude Desktop拡張機能を無効化またはアンインストールする。
- 既定でAIエージェントがローカルコマンドを実行できないよう制限し、信頼境界をまたぐあらゆるアクションに対して、明示的でユーザー承認済みの同意を必須とする。
- 最小権限の制御を徹底し、ファイルシステムおよびアプリケーション権限を強化して、AI駆動プロセスが読み取り・書き込み・実行できる範囲を制限する。
- アプリケーションの許可リスト(allowlisting)とエンドポイント保護を適用し、非開発者向けシステムで未承認のバイナリ、スクリプト、開発者ツールが実行されるのを阻止する。
- ネットワークセグメンテーションと送信トラフィック制御を実装し、不正なダウンロード、ラテラルムーブメント、およびC2(コマンド&コントロール)活動を防止する。
- エンドポイントで異常な挙動を監視し、予期しないコマンド実行、不審なプロセス生成、説明のつかないファイルまたは設定変更を含めて検知する。
- インシデント対応と復旧計画を、AI主導の侵害シナリオに対してテストする。これには、迅速な隔離、資格情報のローテーション、拡張機能の削除、システム復元を含む。
これらの対策を組み合わせることで、AI主導の侵害の可能性を封じ込め、影響範囲(ブラスト半径)を縮小し、組織がますます自律的になるシステムへ適応する中で運用上のレジリエンスを高められる。
AIアシスタントと明確な信頼境界の必要性
この問題は、自律性と権限が明確に定義されていない場合、AI駆動の自動化がセキュリティ境界を曖昧にし得ることを浮き彫りにしている。
組織がローカルシステムへのアクセスを持つAIアシスタントを導入する際、これらのツールは単なる生産性機能として扱うのではなく、特権ソフトウェアとして管理すべきである。
明確な信頼境界を確立し、明示的な承認を求め、多層的な制御を適用することで、日常的な入力がシステムレベルの影響を引き起こすのを防げる。
これらの課題は、ゼロトラストソリューションの必要性を示している。ゼロトラストは、ユーザー、ツール、システム間に暗黙の信頼が存在しないことを前提とする。
