Claude Code の AI アシスタントの脆弱性 CVE-2025-54794/54795 が FIX:特定に用いられた Inverse Prompt とは?

Claude AI Flaws Let Attackers Execute Unauthorized Commands Using the Model Itself

2025/08/05 gbhackers — Anthropic の Claude Code に存在する深刻な脆弱性を、セキュリティ研究者たちが発見した。この脆弱性の悪用に成功した攻撃者は、セキュリティ制限を回避し、不正なコマンド実行を可能にする。AI アシスタント自体が、こうした攻撃を助長している。これらの脆弱性 CVE-2025-54794/CVE-2025-54795 は、開発者の生産性向上を目的として設計された高度な AI ツールが、セキュリティ境界を適切に実装していない場合において、システム侵害の媒介となり得ることを明確に示している。

発見と影響

これらの脆弱性が発見されたのは、セキュリティ研究者である Elad Beber による、Anthropic のリサーチ・プレビューの最中だった。

CVE IDVulnerability TypeCVSS ScoreAffected VersionsFixed Version
CVE-2025-54794Path Restriction Bypass7.7< v0.2.111v0.2.111
CVE-2025-54795Command Injection8.7< v1.0.20v1.0.20

驚くべきことに Beber は、Claude 自身を利用してClaude Codeのセキュリティ・メカニズムをリバース・エンジニアリングし、AI は自らの脆弱性に関する情報を開示することになった。

この “Inverse Prompt” と呼ばれる手法により、アシスタントにおけるパス検証とコマンド実行制御の根本的な欠陥が露呈した。

Anthropic の AI 搭載コーディング・アシスタントである Claude Code は、自然言語プロンプトを開発者に提供し、コードの生成/分析/実行を支援するように設計されている。

このシステムは、ユーザー・レベルの権限で動作し、CWD (current working directory) の制限や、ホワイトリスト方式のコマンド実行制御を導入することで、不正なシステム・アクセスを防止する設計となっている。

パス制限バイパスの脆弱性

1つ目の脆弱性 CVE-2025-54794 が影響を及ぼすコア機能は、Claude Code のファイル操作を、指定された作業ディレクトリ内に封じ込めるためのものだ。この脆弱性は、ディレクトリ名の操作により回避が可能な、単純なプレフィックス・ベースのパス検証手法に起因する。

Claude Codeは 、ファイル・パスの検証時に、解決済みパスと作業ディレクトリとの単純な文字列一致 (プレフィックス・チェック) のみを実施する。したがって、この方式を悪用する攻撃者は、正規の作業ディレクトリと同じプレフィックスを持つ、ディレクトリ名を用いてバイパスを可能にする。

たとえば、Claude Code が “/Users/developer/project” で動作している場合に、攻撃者は “/Users/developer/project_malicious” のような名前のディレクトリを用意し、そこにアクセスする可能性を手にする。

このバイパスにより、不正なファイル・アクセスが可能となり、シンボリック・リンクとの組み合わせにより、ファイル・システム全体のトラバースが可能となる。

コマンド・インジェクションの脆弱性

2つ目の脆弱性 CVE-2025-54795 は、Claude Code のコマンド実行システムに関するものだ。

Claude Code は、ユーザーによる確認なしで実行できる、echo/pwd/whoami などのコマンドをホワイト・リストに登録しているが、入力内容のサニタイズが不十分であるため、コマンド・インジェクション攻撃が可能となる。

この研究者が実証したのは、ホワイト・リスト登録済みコマンドを、任意コード実行のラッパーとして悪用し、ペイロードを構築できることだ。


その一例として、以下のような入力があり得る:

echo "\"; malicious_command; echo \""

このように、文字列パラメータの中に悪意のコマンドを挿入しても、ベース・コマンドがホワイト・リストに登録されているため、Claude Code はユーザーに承認を求めることなく、コマンド列全体を実行してしまう。

すでに Anthropic は、2つの脆弱性に対して修正パッチをリリースし、これらの問題に対処している。パス制限バイパスの脆弱性に対処するためには Claude Code v0.2.111 以降へ、また、コマンド・インジェクションに対応するためには v1.0.20 以降へと、速やかにアップデートする必要がある。

これらの発見が示すのは、AI を活用する開発支援ツールに内在する、セキュリティの課題である。浮き彫りにされたのは、自然言語インターフェースとシステム・レベル操作を橋渡しするツールにおいて、堅牢な入力検証と適切な封じ込め機構の実装が不可欠であることだ。

Claude Code に、2つの深刻な脆弱性が発見されました。プレフィックス・チェックの甘さや入力サニタイズの不備といった、基本的なセキュリティ設計の欠如に起因するものとされます。その一方で、とても興味深いのは、Inverse Prompt という手法により、AI アシスタントが自身の脆弱性を開示したという点です。それは、侵害にも悪用できるものとも思えます。とにかく、ご利用のチームは、ご注意ください。よろしければ、Claude で検索も、ご参照ください。