Anthropicのフラグシップ AI コーディングエージェントであるClaude Codeが最近、開発者が設定したセキュリティルールを静かにバイパスする重大なセキュリティ欠陥を含んでいることが発見されました。
この脆弱性により、攻撃者はブロックされたコマンドをデータ流出スクリプトなど、50個以上の無害なサブコマンドでパディングすることにより実行することができます。
Claude Codeを使用すると、開発者はcurlやrmなどの危険なアクションからAIを保護するための「拒否ルール」を設定できます。
システムのレガシーコマンドパーサーは、複合コマンドがハードコードされた50サブコマンドの制限を超えると、これらのセキュリティルールの評価を中止します。
過度に複雑なコマンドを安全にブロックするのではなく、アプリケーションは完全に拒否ルールをスキップし、汎用のユーザープロンプトにフォールバックします。
継続的インテグレーションパイプラインまたは自動化された環境では、このプロンプトが実行を自動承認することさえあります。
この欠陥により、設定されたセキュリティプロテクションが警告なしに静かに無視されるため、開発者は完全に露出しています。
ユーザー設定されたセキュリティルールをバイパスする欠陥
この脆弱性の攻撃経路は実用的で、日常的なソフトウェアエンジニアリングの習慣をターゲットにしています。
攻撃者は、毒されたCLAUDE.md設定ファイルを含む正当に見えるオープンソースリポジトリを公開できます。この設定ファイルはAIアシスタント向けの信頼できる命令セットとして機能します。
攻撃者は50個の完全に正常なタスクを含むビルド命令を記述できますが、位置51に悪意のあるペイロードを秘密裏に隠すことができます。
被害者がリポジトリを複製し、Claude Codeにプロジェクトをビルドするよう要求すると、AIはコマンドの長いシーケンスを生成します。
50コマンドの制限がトリガーされるため、拒否ルールは機能しません。開発者のSSHキー、クラウドプラットフォームの認証情報、またはAPIトークンがその後、攻撃者のサーバーに静かに送信されます。
この脆弱性の根本原因は、現代のAIツールにおける大きなトレードオフを明らかにしています。すべてのサブコマンドをセキュリティ違反についてチェックすることは、かなりの処理能力と高価なAIトークンを消費します。
ユーザーインターフェースがフリーズするのを防ぎ、計算コストを削減するために、Anthropicのエンジニアは50コマンドの制限を設けました。
驚くべきことに、任意の長さのコマンドに対して拒否ルールを正しく強制する、より安全なコード解析メカニズムがAnthropicのコードベース内に既に存在していました。
しかし、この改善されたバージョンは、顧客が実際に使用するパブリックビルドにはデプロイされませんでした。同社は本質的に、包括的なセキュリティ実装をより高速なパフォーマンスと低い運用コストと引き換えにしました。
このインシデントは、セキュリティチェックがコア製品機能と同じリソースを直接競合するAIエージェント業界の構造的課題を実証しています。
Anthropicは新しくリリースされたClaude Code v2.1.90で脆弱性に対応し、バグを内部では「parse-fail fallback deny-rule degradation」と呼んでいます。これはAdversa AIによって報告されています。
まだ更新していない開発者については、セキュリティ専門家は拒否ルールを完全に信頼できないものとして扱うことを推奨しています。
組織はClaude Codeのシェルアクセスを可能な限り最小限の権限レベルに制限する必要があります。
さらに、開発者はAIアシスタントを実行する前に、異常なアウトバウンドネットワーク接続を積極的に監視し、外部リポジトリの設定ファイルを手動で監査する必要があります。
翻訳元: https://gbhackers.com/critical-claude-code-flaw/
