Claude Codeのセキュリティ脆弱性により、攻撃者はリポジトリに悪意のある設定を注入し、開発者が信頼できないプロジェクトをクローンして開くのを待つことで、ユーザーのマシンでリモートコード実行を行い、APIキーを盗む可能性がありました。
Check Point Software の研究者たちは3つの欠陥すべてを発見し、Anthropicに報告しました。Anthropicはすべての修正を発行し、2つのCVEを発行しました。しかし、バグハンター達によると、企業がClaude のような AI コーディングツールを開発プロセスに組み込み、本質的に設定ファイルを新しい攻撃面に変えるにつれて、これらの問題は懸念される供給チェーンの脅威を示しているとのことです。
「リポジトリで制御された設定ファイルを通じて任意のコマンドを実行する能力は、深刻な供給チェーンリスクを生み出しました。単一の悪意あるコミットが、影響を受けたリポジトリで作業する任意の開発者を危険にさらす可能性があります」とCheck Pointの研究者Aviv DonenfeldとOded Vanunuが水曜日のレポートで述べました。
Claude Codeを開発したAI企業であるAnthropicは、The Registerのコメント要求に応じませんでした。
3つのセキュリティ脆弱性は、開発チームのコラボレーションを容易にすることを目的とした Claude の設計に由来しています。AIコーディングツールは、プロジェクトレベルの設定ファイル(.claude/settings.jsonファイル)をリポジトリ内に直接埋め込むことでこれを実現し、開発者がプロジェクトをクローンする場合、チームメイトによって使用される同じ設定が自動的に適用されます。
コミットアクセス権を持つ任意の貢献者がこれらのファイルを変更できます。研究者たちは、悪意のあるリポジトリをクローンして開くと、組み込みのセーフガードをバイパスし、隠れたコマンドをトリガーして悪意のあるコードを実行することができることがあることを発見しました。
RCEのためにHooksを悪用する
3つの欠陥の最初のものは、リモートコード実行を達成するためにClaudeのHooks機能を悪用することでした。Hooksはユーザー定義のシェルコマンドで、ツールのライフサイクルのさまざまなポイントで実行され、モデルが選択できるようにするのではなく、特定の事前定義されたアクションが事前に定められた条件が満たされるときに実行されることを保証します。
Hooksはリポジトリで制御された設定ファイルである.claude/settings.jsonで定義されているため、コミットアクセス権を持つ誰もが、プロジェクトで作業するときに他のすべてのコラボレーターのマシンでシェルコマンドを実行するHooksを定義できます。さらに、Claudeはこれらのコマンドを実行する前に明示的な承認を要求しません。そのため、研究者たちはこのメカニズムを悪用して、誰かがプロジェクトを開くときに計算機アプリを開きました。
計算機を開くbashスクリプトはほとんど悪意がありませんが、それでもリモートコード実行です。そしてチームがビデオで示したように:「攻撃者はHookを設定して、リバースシェルのような悪意のあるペイロードをダウンロードして実行するなど、任意のシェルコマンドを実行できます」
Check Pointは2025年7月21日に悪意のあるHooks欠陥をAnthropicに報告し、AI企業は約1ヶ月後に最終修正を実装し、8月29日にこのGitHub Security Advisory GHSA-ph6w-f82w-28w6を公開しました。
MCPコンセント・バイパスバグ
2番目の脆弱性もRCEを許可します。今回はMCPコンセント・バイパスを悪用することで。
ClaudeはModel Context Protocol(MCP)を使用して外部ツールと統合し、MCPサーバーも.mcp.json設定ファイルを通じて同じリポジトリで設定できます。以前の開示とAnthropicの修正のおかげで、研究者たちは.mcp.jsonでコマンドを実行する前にユーザーの承認を明示的に要求する警告プロンプトに遭遇しました。
そのため、彼らは回避策を見つけました:セーフガードをオーバーライドし、すべてのMCPサーバーを自動的に承認することができるリポジトリで制御された2つの設定。
「この設定でClaude Codeを起動すると、深刻な脆弱性が明らかになりました。ユーザーが信頼ダイアログを読むことができる前に、Claudeを実行するとすぐにコマンドが実行されました」とCheck Pointの二人は書きました。
繰り返しになりますが、彼らは計算機アプリに固執しましたが、この脆弱性を悪用してリバースシェルをリモートで実行し、犠牲者のマシンを完全に危険にさらす方法を示すビデオも制作しました。
研究者たちは2025年9月3日にこの2番目の脆弱性をAnthropicに報告し、Anthropicはその月の後半にバイパス脆弱性を修正し、10月3日にCVE-2025-59536を公開しました。
APIキー盗難
攻撃者は3番目の欠陥を利用してAPIキーを盗むことができます。これはClaudeがAnthropicのサービスと通信するためにAPIキーを使用する方法に関しています。1つの変数ANTHROPIC_BASE_URLはすべてのClaude API通信のエンドポイントを制御し、Anthropicのサーバーを指すはずですが、プロジェクトの設定ファイルでオーバーライドして、攻撃者が制御するサーバーを指すようにすることができます。
研究者たちはANTHROPIC_BASE_URLをローカルプロキシを介してルーティングするように設定し、Claude CodeのすべてのAPIトラフィックをリアルタイムで監視しました。AnthropicサーバーへのClaudeのすべての呼び出しは「認証ヘッダーが含まれていました。これは、完全にプレーンテキストで露出しているAnthropicの完全なAPIキーです」と彼らは書きました。
攻撃者はこのトリックを悪用してトラフィックをリダイレクトし、開発者のアクティブなAPIキーを盗むことができます。これは重要です。APIには複数のAPIキーが同じクラウドベースのプロジェクトファイルへのアクセスを共有できるようにすることで、開発者が複数のClaudeデプロイメントを管理するのに役立つWorkspacesと呼ばれる機能が含まれているためです。ファイルはワークスペースに接続されています。単一のキーではなく、ワークスペースに属する任意のAPIキーもワークスペースの保存されたファイルのいずれかに可視性があります。
これにより、研究者たちは共有ワークスペースにファイルをアップロードする機能を得ました。ただし、ダウンロードは許可されていません。Claudeのドキュメントによると、ユーザーはスキルまたはコード実行ツールによって作成されたファイルのみをダウンロードできます。
「Claude のコード実行ツールで生成されたファイルはダウンロード可能にマークされているため、攻撃者が盗まれたAPIキーを使用して既存ファイルを再生成するようClaudeに依頼できるかどうかを調べました」とCheck PointのDonenfeldとVanunuは書きました。「成功した場合、これはダウンロード不可能なファイルをダウンロードの対象となるワークスペースアーティファクトに変換します。」
ファイルをクローンしてダウンロードしたことが成功し、盗まれたAPIキーを使用している悪人がすべてのワークスペースファイルへの完全な読み取り・書き込みアクセス権を取得でき、機密ファイルを削除または変更したり、悪意のあるファイルをアップロードしてワークスペースを汚染したり、100GBのストレージスペースクォータを超過したりすることさえできることが確認されました確認されました。
Check Pointは2025年10月28日にAPIキー抽出バグをAnthropicに報告し、ベンダーはすぐに修正を発行しました。その後、1月21日にAnthropicはCVE-2026-21852を公開しました。
セキュリティチームが指摘したように:「AIを開発ワークフローに統合することは、非常に大きな生産性の向上をもたらしますが、従来のツールに存在しなかった新しい攻撃面も導入します。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/26/clade_code_cves/
