セキュリティ研究者によると、Anthropic’s Claudeは、信頼できる開発者の身元を詐称することにより、わずか2つのGitコマンドで悪意のあるコードを承認するよう騙されるとのことです。
今週発表されたManifold Securityのブログでは、ClaudeをベースにしたAI動力コードレビューアーが、正規のメンテナーからのものに見える変更を受け入れた方法を示しました。Gitで偽のオーサー名とメールアドレスを設定することで、チームはコミットを信頼できるソースから発信されたように見せかけ、その後、モデルがそれを承認した自動レビューフロー経由でそれを通しました。
これはGit脆弱性ではありません。コミットメタデータは、署名などの追加のコントロールが実行されない限り、常に比較的簡単に偽造できます。その問題は、そのメタデータが信頼の信号として扱われるときに生じます。この場合、モデルは著者が主張する身元に重きを置いているようで、変更自体が健全であるかどうかを独立して評価していません。
Manifoldのテストでは、ワークフローは「認識された業界の伝説」からのプルリクエストを自動承認するよう設定されていたため、信頼ルールは明白でした。現実の世界では、通常はあまり明示的ではありません。組織メンバーシップのチェック、過去の貢献、またはメンテナーリストなどです。しかし、根本的には同じ問題です。どれも実際に変更を行った人が誰であるかを証明するものではありません。
「このような構成の背後にある動機は理解できます。人気のあるオープンソースプロジェクトのメンテナーはPRに溺れています」とManifoldは述べました。「既知の信頼できる人物からの貢献のレビューを自動化することで、ボトルネックが軽減されます。しかし、著者身元が表面上信頼できるという仮定を生み出しています。」
Manifoldは、このセットアップを最近のOpenClaw Clineパッケージ侵害事件と比較しています。毒入りパッケージが信頼できる環境に滑り込み、損害を引き起こすのに十分な期間、正当なものとして扱われました。どちらの場合も、信頼できるソースからのように見える何かに、それが獲得していないレベルの信頼が与えられていました。
Claudeのようなシステムで変わるのは、その信頼がどのように適用されるかです。人間のレビュアーは、特定のメンテナーがなぜ予期しない変更を行っているのかを疑問に思ったり、diffをより詳しく見たりするかもしれません。自動レビュアーは内部信号に一貫して従う傾向が高く、それらの信号に著者身元が含まれている場合、その身元になりすますことが侵入口になります。
「オープンソースライブラリはAI動力ワークフローツールを使用してプルリクエストを自動レビュー・承認に頼ることが増えていますが、これらのエージェントは簡単に騙され、脅威者がセキュリティコントロールを回避し、人気のあるコードリポジトリに毒を入れる機会を生み出します」とManifoldは警告しました。
Manifoldの結論は、ガードレールはモデルの中に存在することはできないということです。他に誰が何をしたかをチェックしていない場合、悪いコードは単に提案されるだけではなく、プッシュされます。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/16/git_identity_spoof_claude/
