Anthropicはセキュリティ報告の内容自体は否定しなかったが、原因はユーザーが意図的にツールをインストールし、適切な権限を付与したというユーザー側の誤りによってのみ起こり得ると示唆した。
LayerX Securityが月曜日に公開した報告書で、「[Anthropicの] Claude Desktop Extensions(DXT)における重大なゼロクリックRCE脆弱性で、悪意のあるGoogleカレンダー招待がシステム全体を密かに侵害し得る」と説明したとき、アナリスト、コンサルタント、セキュリティ責任者、さらにはAnthropicでさえも事実関係を否定しなかった。
しかし、この暴露は、AIベンダーが堅牢に安全な製品を出荷する責任を負うのか、それともCISOが自社の業務環境に合わせて設定を変更する責任を負うのか、という議論を再燃させた。
「従来のブラウザー拡張機能とは異なり、Claude Desktop Extensionsはサンドボックスなしでフルシステム権限で動作します。その結果、Claudeは、Googleカレンダーのような低リスクのコネクターを、高リスクのローカル実行機能へと、ユーザーの認識や同意なしに自律的に連鎖させることができます」と、 報告書 は述べた。「悪意ある攻撃者に悪用された場合、無害なプロンプトであっても、悪意ある文言のカレンダーイベントと組み合わさるだけで、任意のローカルコード実行を引き起こし、システム全体を侵害するのに十分です。これは、LLM駆動のワークフローにおけるシステム全体の信頼境界の侵害を生み、広範で未解決の攻撃面をもたらし、MCPコネクターをセキュリティ要件の高いシステムにとって安全でないものにします。LayerXはこの調査結果をAnthropicに提示しましたが、同社は現時点では修正しないことを決定しました。」
AIベンダーOakie.aiのCEOで、MetaのAIディレクターを務めた経歴を持つRoy Ben Altaは、問題は実在するとしつつも、これはAnthropicがシステムをどのように設計したか、そしてブラウザーおよびデスクトップ拡張として機能させるという選択により強く関係していると述べた。
「(報告書の)『Anthropicが修正を拒否した』という枠組みは要点を外しています」と彼は言う。「自律エージェントが行動を連鎖できること自体は修正できません。それが目的なのです。必要なのは、特権アクセスを持つあらゆるエンタープライズソフトウェアと同様に、適切な導入時の統制です。」
アーキテクチャの問題
彼は、この問題はAnthropicに固有ではなく、外部データへのアクセスとローカル実行能力の両方を備えたAIエージェントは、潜在的な権限昇格の経路を提供し得ると指摘した。「それはアーキテクチャであって、バグではありません」と彼は言う。「Anthropicは権限境界とプロンプト処理を改善すべきです。企業は、どの拡張機能を導入するかを統制し、利用状況を監視する必要があります。」
2025年8月までWalmartでサイバーセキュリティ、リスク、コンプライアンスのディレクターを務めた、独立系のサイバーセキュリティおよびリスクアドバイザーであるSteven Eric Fisherも、問題は技術的欠陥というより、Anthropic DXTがどのように機能するよう設計されたかに起因すると同意した。
「権限とアクセス管理のレイヤーは、個々のデスクトップでさえ難しい問題であり、ましてやそれを企業レベルで管理しようとするのはなおさらです。AIデスクトップ拡張やブラウザーは、成熟したOSのようにアイデンティティと権限を管理しません」とFisherは述べた。「ITとサイバーセキュリティは、ツール群のシステムにおける明確に定義された能力の欠如を直接修正することはできません。デスクトップ環境内のいくつかの境界、あるいは場合によってはアプリケーションの挙動を管理する経験やツールセットはあります。しかしこれは、レスリングのリングの周りにロープを張ろうとしているようなもので、リングの中で何が起きるかや、関与するすべてのリスクを管理できるわけではありません。」
LayerX Securityの研究者らは、こうした権限/設定の問題が、程度の差こそあれすべてのAIベンダーに存在するのは事実だが、DXTにおけるAnthropicのアプローチはセキュリティ問題をはるかに悪化させていると述べた。
違いは「歴然」
LayerX Securityの主任AIセキュリティ研究者であるRoy Pazは、DXTをPerplexityのComet、OpenAIのAtlas、MicrosoftのCoPilotと比較テストしたところ、違いは歴然としていたと語った。
「Copilot、Atlas、あるいはPerplexityにツールを使うよう頼めば、そのツールを代わりに使ってくれます。しかしClaude DXTは、(たとえば)GoogleカレンダーからDesktop Commanderへと、ツール同士が会話できるようにしており、タスクを完了するためにユーザーに相談せずにそうする場合があります」とPazは述べた。ほかのベンダーでは、「エージェントがユーザーの明示的な指示の範囲を超えることをしたい場合、許可を求めますが、Claude DXTではユーザーに確認しません」と彼は指摘した。
LayerXのプロダクト戦略責任者であるEyal Araziも、Anthropicの異なるアーキテクチャと設定上の選択を強調した。
彼が指摘したところによれば、現在、多くのAIモデル提供者はブラウザープラットフォームを基盤にエージェント型製品を開発している。 ブラウザーは高度にサンドボックス化された環境であり、基盤となるOSから強く隔離されている。つまり、エージェント型AIブラウザーにも独自の脆弱性はあるものの、ブラウザーが侵害されても基盤のファイルシステムへのアクセスが得られたり、基盤OS上で直接リモートコードを実行できたりするわけではない。
「しかしClaudeはやり方が違います」とArazi は述べた。「これは現在Chromeのみのブラウザー拡張で、MCPベースのデスクトップエージェントと組み合わせています。DiaやMicrosoft、Googleなどのブラウザーソリューションの一部はまだ完全にエージェント化されていませんが、Claudeのソリューションは本当にエージェント型です。」ブラウザーとは異なり、ファイルシステムへ直接アクセスできるため、完全なエージェント能力と直接のファイルシステムアクセスの組み合わせは危険な組み合わせになると彼は述べた。「だからこそ、これはAnthropicの実装に特有の問題であり、他のエージェント型ブラウザーにはないのです。」
責任はユーザーにある、とAnthropic
Anthropicは報告書の多くを認めたが、責任は各環境に応じて製品を適切に利用するユーザー側にあると述べた。
「Claude DesktopのMCP統合は、ユーザーが実行することを選んだサーバーに対して、明示的に設定し、権限を付与するローカル開発ツールです」とAnthropicの広報担当Jennifer Martinezは述べた。「明確にしておくと、投稿で説明されている状況は、標的となったユーザーが意図的にこれらのツールをインストールし、プロンプトなしで実行する許可を与えていることが必要です。私たちは、ユーザーがMCPサーバーをインストールする際には、[他の]サードパーティソフトウェアをインストールする場合と同様の注意を払うことを推奨します。」
Martinezは、ユーザーはローカルで実行することを選んだMCPサーバーを明示的に設定し、権限を付与し、これらのサーバーはユーザーの権限に基づいてリソースへアクセスできると付け加えた。「ユーザーが有効化するMCPサーバーと、それらのサーバーが持つ権限を完全に制御できるため、セキュリティ境界はユーザーの設定選択と、システムに既存のセキュリティ統制によって定義されます」と彼女は述べた。「プロンプトインジェクションはすべてのLLMが影響を受け得る問題であり、AnthropicはAI業界の他社とともに、その対策に取り組んでいます。」
この弱点の責任は単一の原因に帰せられない、とFisherは述べた。業界標準の策定が遅いことも含め、分け合うべき責任は多いという。
「Anthropicや他のAI企業は、十分に定義されていないものを修正することはできません。共通標準がなければ、せいぜい特注のモグラ叩き的な権限実装を作ることになるでしょう」と彼は指摘した。「私の意見では、イノベーションの速度は、結果に対して実装可能な共通のセキュリティ標準を特定する能力をはるかに上回っています。課題に取り組む人々がいて、MCPのセキュリティ標準に取り組むグループもあります。」
しかし、それは進行中の作業だ。「今は」と彼は言う。「これは速く作って革新する[アプローチ]であり、既存の基盤となるセキュリティ統制に大きく依存しています。既存のシステムでは、AIの到達範囲の中で何が必要で、何が許されるのかを明確に定義するために求められることに太刀打ちできません。」
しかし、IDCでセキュリティとトラスト担当のグループバイスプレジデントを務めるFrank Dicksonは、これがすべての自律エージェントに共通する問題だという示唆に反論した。
「これは自律エージェントがある以上仕方ない、という単なる宿命ではありません。新しいソフトウェア企業が、含意を理解していない不慣れな領域へ提供範囲を拡張したという事実です」とDicksonは述べた。「このバグは、Anthropicが安全でないブラウザーを出したというより、ブラウザーを保護し制御する必要性を強化するものです。」
ソフトウェアスタートアップは素早く失敗することを好むが、その失敗の矢面に立つのもまた彼らだと彼は指摘した。「Anthropicが間違えなければ、別の誰かが間違えるでしょう」と彼は言う。「Anthropicが免責されるわけではありませんが、組織はスタートアップがこうしたミスをすることを織り込み、ブラウザーを制御し保護するための対策を講じるべきです。」
簡単には直らない
LayerXのPazは、この問題はアーキテクチャ上の意思決定に深く根差しているため、Anthropicにとって修正は容易ではないと述べた。「30分で直るものではありません。修正には数週間かかります。全面的な再設計を迫られるでしょう。」
セキュリティ企業RockCyberのCEOであるRock Lambrosは、Anthropicの問題をゼロデイとは見なさないが、それでも問題だと付け加えた。
「これは、確認ゲートなしにAIエージェントが無害なデータソースを特権コード実行機能へ連鎖させることを許した場合に予測できる結果です。AnthropicはすでにClaude Code向けにサンドボックス化を構築していたのに、Desktop Extensionsをそれなしで出荷した時点で、『エージェントとはそういうものだ』という弁護は崩れました」とLambrosは述べた。「いまエージェントを導入しているすべての企業は、『有効化する前にツール連鎖の権限を制限したのか、それともインターンにマスターキーを渡して昼食に出かけたのか?』に答える必要があります。」
