Claude AI における間接プロンプト・インジェクションの脆弱性:API 操作によるデータ窃取が可能に

Hackers Can Manipulate Claude AI APIs with Indirect Prompts to Steal User Data

2025/11/03 CyberSecurityNews — Anthropic の Claude AI を悪用するハッカーは、機密性の高いユーザー・データを窃取する可能性を手にしている。この攻撃者は、コード・インタープリタ・ツールに新たに追加されたネットワーク機能を悪用し、間接的なプロンプト・インジェクションを用いることで、チャット履歴などの個人情報を抽出して自身のアカウントに送信する。2025年10月に Johann Rehberger がブログで詳述した、この問題が浮き彫りにするのは、AI システムが外部と接続性を高めるにつれてリスクが拡大している状況である。

Johann Rehberger によると、この脆弱性は Claude のデフォルト設定 “Package managers only” に起因する。この設定で許可されるのは、”api.anthropic.com” などの承認済みドメインの限定リストへのネットワーク・アクセスのみである。

そのためのホワイトリストは、npm/PyPI/GitHub などのサイトからソフトウェア・パッケージを安全にインストールするために設計されているが、結果的にバックドアを開くことになった。Rehberger が実証しているのは、ドキュメントやユーザー入力に埋め込まれた悪意あるプロンプトにより、ユーザー・データにアクセスするコードを AI が実行できることである。

間接プロンプト・インジェクション・チェーン

Rehberger の PoC エクスプロイトは、間接的なプロンプト・インジェクションから始まる。想定される攻撃者が用いる手法は、ユーザーが Anthropic の Claude に分析を依頼したファイルといった、無害に見えるコンテンツへの有害な指示の埋め込みである。

それにより、Claude AI が過去の会話を参照する新機能 “memory” を利用し、ペイロードはモデルに最近のチャットデータを抽出させ、コード・インタープリタのサンドボックス内(具体的には /mnt/user-data/outputs/hello.md)にファイルとして保存させるよう指示する。

続いて、このエクスプロイトは Anthropic SDK を用いて Claude に Python コードの実行を強制する。このコードは攻撃者の API キーを環境変数に設定し、Claude の Files API 経由でファイルをアップロードする。

アップロード先が被害者ではなく攻撃者のアカウントであるため、通常の認証を回避できることが重要となる。Rehberger は “初回で成功した”と指摘しているが、その後に Claude は明白な API キーを警戒するようになり、print 文などの無害なコードによる難読化で、検出を回避する必要が生じたという。

デモ動画とスクリーンショットで、こうした挙動のプロセスが示されている。攻撃者の空のコンソールが表示されているが、被害者が汚染されたドキュメントを処理すると、数秒後に盗まれたファイルが表示される。このアップロードでは、1 回あたり最大 30 MB まで可能であり、複数回のアップロードも実行できる。この AI キルチェーンは、許可リストに登録された他のドメインにも拡張され、脅威を増幅させる可能性がある。


2025年10月25日に Rehberger は HackerOne を通じて、この問題を Anthropic に適切に開示している。当初は、モデルの安全性に関する問題として範囲外と判断されたが、10月30日の時点で Anthropic は、手続き上のエラーを理由に、これを有効な脆弱性として認定した。

すでに Anthropic は、ネットワーク経由でのデータ流出リスクについて警告しており、セッションの綿密な監視と不審なアクティビティの停止を、ユーザーに対して推奨している。

これを受けて、Simon Willison などの専門家は、この事例を AI セキュリティにおける致命的な三要素 (強力なモデル/外部アクセス/プロンプトベースの制御) の典型例として指摘している。

軽減策として挙げられるのは、Anthropic のサンドボックス・ルールを適用し、ログインしたユーザー・アカウントへの API 呼び出しを制限することだ。その一方で、ユーザーとして行うべきは、ネットワーク・アクセスの無効化や、ドメイン・ホワイトリスト登録の最小化により、デフォルトのセキュリティ設定による偽りの安全を避けることだ。

Claude のような AI ツールがワークフローに深く統合されるにつれて、この種の脆弱性が示すのは、接続性が危険を生み出すことである。堅牢な保護策がなければ、当初は有用な自動化であっても、次第にハッカーの温床となっていく。

Claude AI のコード・インタープリタに追加されたネットワーク機能が原因となり、外部からの悪意ある指示を通じて、機密データが流出する可能性が生じています。デフォルト設定の “Package managers only” が想定外の抜け道となり、許可ドメイン経由でのデータの送信が可能になっています。Rehberger が示すたように、無害に見えるファイルに埋め込まれた命令が AI を操作し、チャット履歴を攻撃者の環境に送信してしまうのは、とても現実的なリスクだと、この記事は指摘しています。よろしければ、Claude で検索を、ご参照ください。