Claude Desktop Extensions 0-Click RCE Vulnerability Exposes 10,000+ Users to Remote Attacks
2026/02/09 CyberSecurityNews — Claude Desktop Extensions (DXT) の深刻な脆弱性が新たに発見され、大規模言語モデル (LLM) における信頼境界の処理方式を巡る、根本的なアーキテクチャ上の欠陥が明らかになった。この Claude DXT のゼロクリック型リモート・コード実行 (RCE) 脆弱性 CVE-N/A を悪用する攻撃者は、細工された Google Calendar のイベントのみでシステムを侵害できる。
この脆弱性を発見した LayerX は、CVSS スコア 10.0 と評価し、1 万人以上のアクティブ・ユーザーと 50 を超える DXT エクステンションに影響を及ぼすと述べている。この脆弱性は、Model Context Protocol (MCP) エコシステムにおける危険な欠陥を浮き彫りにしている。つまり、ユーザーの明示的な同意を得ない AI エージェントが、低リスクなデータ・ソースから高権限の実行ツールへ向けて、自律的に連鎖していくという欠陥が改めて明らかにされている。
この問題の中核は、Claude Desktop Extensions のアーキテクチャにある。Chrome の “.crx” ファイルなどの、厳密にサンドボックス化された環境で動作する現代のブラウザ・エクステンションとは異なり、Claude の MCP サーバはホスト・マシン上でフルシステム権限を持って実行される。これらのエクステンションは、単なる受動的なプラグインではなく、AI モデルとローカル OS を接続する能動的なブリッジである。
LayerX によると、このサンドボックス不在の設計により、エクステンションがコマンド実行を強要された場合は、ユーザーと同等の権限で動作することになる。この権限に含まれるものには、任意ファイルの読み取り/保存された認証情報へのアクセス/OS 設定の変更などがある。
Claude Desktop Extensions における脆弱性
この攻撃は、複雑なプロンプト・エンジニアリングや被害者による直接操作を必要としない。攻撃ベクターは、驚くほど単純な Google Calendar のイベントである。 研究者たちが “Ace of Aces” と名付けたシナリオでは、攻撃者が “Task Management” と名付けたカレンダー・イベントに被害者が招待される。または、共有カレンダーにイベントを注入するケースもあり得る。イベントの説明文には、悪意の Git リポジトリをクローンして、Makefile を実行するという指示が含まれている。
その後に、ユーザーが “Google Calendar の最新イベントを確認して対応せよ” などの無害に見える指示を Claude に与えると、モデルは “対応せよ” という表現を、カレンダー・イベント内のタスク実行が許可されたものと自律的に解釈する。それに加えて、低信頼コネクタ (Google Calendar) から高信頼なローカル実行機能 (Desktop Commander) へ向けた、データ・フローを防止するハードコードされた保護機構が存在しないため、Claude は次の処理を実行する。
- カレンダーから悪意ある指示を読み取る。
- ローカル MCP エクステンションを使用して、攻撃者のリポジトリから git pull を実行する。
- ダウンロードした make.bat ファイルを実行する。
この一連の流れは、コード実行に関する明示的な確認プロンプトなしで完結し、完全なシステム侵害に至る。単に予定確認やスケジュール更新を依頼したつもりのユーザーは、AI エージェントを介してシステムの制御権を攻撃者へ引き渡してしまうことになる。 この脆弱性の特徴は、バッファ・オーバーフローのような従来型のソフトウェア・バグではなく、”ワークフロー上の失敗” であるという点に集約される。さらに言えば、この欠陥は LLM の自律的な意思決定ロジックそのものに存在する。
Claude の設計は、タスク達成のためにツールを連鎖させることを目指しているが、カレンダーのような公開/低信頼のデータ・ソースから取得した情報を、高権限の実行ツールへ直接渡してはならないという文脈を理解できない。 LayerX のレポートには、「この仕組みは、LLM 駆動ワークフローにおけるシステム全体の信頼境界違反を生み出す。無害に見えるデータ・ソースを、高権限の実行コンテキストに自動的に橋渡しすることは、根本的に安全ではない」と記されている。
この発見について、Claude の開発元である Anthropic に対して情報が開示されたが、現時点において同社は、修正を行わないという判断を下したと報じられている。つまり、MCP の自律性/相互運用性という設計思想に沿った挙動であり、修正するためには、ツールの連鎖能力に厳しい制限を課す必要があり、利便性が大きく損なわれるからだと考えられる。
LayerX からユーザーへの助言は、パッチ適用またはアーキテクチャ変更が実装されるまで、セキュリティが重要なシステムにおいて、MCP コネクタを安全でないものとして扱うべきというものだ。
研究チームがユーザーに推奨するのは、メール/カレンダーなどの、外部の信頼できないデータを取り込むコネクタを使用している場合には、高権限のローカル・エクステンションを切り離すべきというものだ。
AI エージェントが、単なるチャットボットから OS を操作する能動的なアシスタントへ進化する中で、攻撃対象領域も変化している。このゼロクリック型 RCE は、明確な警鐘である。AI にデジタル・ライフへのアクセスを与えることは、そのデータを操作できる第三者にも扉を開くことを意味する。AI にタスクを任せる利便性には、深刻なセキュリティ・リスクが伴う。
この問題の原因は、Claude Desktop Extensions (DXT) が採用している Model Context Protocol (MCP) の設計において、データの信頼性を判断する境界線が欠落していることにあります。従来のブラウザ拡張機能とは異なり Claude の MCP サーバは、OS上での高権限を持って直接動作します。この仕組みにおいて、AI はカレンダーのコンテンツと OS 操作ツールを、何の疑いもなくつなぎ合わせてしまいます。したがって、ユーザーが “カレンダーを確認して” と指示しただけで、AI はカレンダー内の悪意指示を “実行すべきタスク” と解釈して、確認なしで実行してしまいます。文中で指摘されているように、信頼境界のあり方が揺らいでいるように感じられます。よろしければ、Prompt Injection での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.