Claude Code における複数の脆弱性：API キー漏えいと RCE の可能性

Claude Code Flaws Allow Remote Code Execution and API Key Exfiltration

2026/02/25 TheHackerNews — AI 搭載コーディング支援ツール Anthropic Claude Code に、複数のセキュリティ脆弱性が存在することを、サイバー・セキュリティ研究者たちが明らかにした。これらの脆弱性により、リモート・コード実行および API 認証情報の窃取が発生する可能性がある。一連の脆弱性により、フック／Model Context Protocol (MCP) サーバ／環境変数などの、複数のコンフィグ機能の悪用が可能となると、Check Point Research のレポートは指摘している。ユーザーが未信頼のリポジトリをクローンして開くだけで、任意のシェル・コマンド実行および Anthropic API キーの漏洩が発生する。

CVE-2026-21852 (CVSS：5.3)：Claude Code のプロジェクト・ロード・フローにおける情報漏洩の脆弱性である。悪意のリポジトリにより、Anthropic API キーを含むデータの外部への流出が可能である。2026年1月公開のバージョン 2.0.65 で修正済みである。
CVE-N/A (CVSS：8.7)：新規ディレクトリで Claude Code を起動する際の、ユーザー同意バイパスに起因するコード・インジェクション脆弱性である。”.claude/settings.json” で定義される未信頼のプロジェクト・フックを通じて、追加確認なしに任意コード実行が可能となる。2025年9月公開のバージョン 1.0.87 で修正済みである。
CVE-2025-59536 (CVSS：8.7)：未信頼ディレクトリで Claude Code を起動する際の、ツールの初期化時に任意のシェル・コマンドの自動実行が可能になるコード・インジェクション脆弱性である。2025年10月公開のバージョン 1.0.111 で修正済みである。

Anthropic は CVE-2026-21852 に関するアドバイザリにおいて、攻撃者が制御するリポジトリで Claude Code を起動し、その設定ファイルが ANTHROPIC_BASE_URL を攻撃者管理のエンドポイントに設定していた場合に、信頼プロンプトが表示される前に API リクエストが送信されると説明している。これにより、ユーザーの API キーが漏洩する可能性がある。

それにより、細工されたリポジトリを開くだけで、開発者の有効な API キーが外部へと送信される。認証済み API トラフィックは外部インフラへリダイレクトされ、認証情報が取得される。その結果として、攻撃者は被害者の AI 基盤への、さらなる侵入を可能にする。

想定される影響として挙げられるのは、共有プロジェクト・ファイルへのアクセス／クラウド保存データの改変と削除／悪意のコンテンツのアップロード／予期しない API 利用料金の発生などである。この脆弱性 CVE-N/A の悪用に成功した攻撃者は、開発者がプロジェクトを起動するだけで追加操作なしにステルス実行を可能にする。

CVE-2025-59536 も同様の結果をもたらすが、主な相違点は “.mcp.json” および “.claude/settings.json” に定義されたリポジトリ設定を悪用する点にある。攻撃者は enableAllProjectMcpServers を true に設定することで、Model Context Protocol (MCP) を通じた外部ツール／サービス連携前の、明示的ユーザー承認を上書きできる。

Check Point Research が指摘するのは、このAI 搭載ツールがコマンド実行／外部連携の初期化／自律的なネットワーク通信を行う能力を持つようになるにつれ、コンフィグ・ファイルが事実上の実行レイヤの一部になるという点だ。従来は運用コンテキストと見なされていたものが、現在ではシステム挙動に直接影響を与えるとしている。

さらに同社は、脅威モデルは根本的に変化すると結論付けている。リスクは未信頼コードの実行に限定されず、未信頼プロジェクトを開く行為自体がリスクとなる。AI 駆動型開発環境では、サプライ・チェーンはソース・コードだけでなく、それを取り巻く自動化レイヤから始まるとしている。

AI 搭載コーディング支援ツール Claude Code において、設定ファイルを悪用して API キーの窃取やリモートコード実行 (RCE) を許す可能性のある、深刻な脆弱性が報告されました。この問題の核心は、開発者が信頼できないリポジトリをクローンして開くという日常的な行為だけで、AI ツールの自律的な機能が裏目に出て攻撃を成立させてしまう点にあります。攻撃者はリポジトリ内の設定ファイルである “.claude/settings.json” や “.mcp.json” を細工し、接続先となる “ANTHROPIC_BASE_URL” を攻撃者管理のサーバーに書き換えます。これにより、ユーザーがプロジェクトを起動した際の、信頼プロンプトが表示される前の段階で、API キーが外部へ送信されるリスクが生じます。

また、Model Context Protocol (MCP) の設定を悪用することで、ユーザーの明示的な承認をバイパスし、バックグラウンドでの任意のシェルコマンドのステルス実行が可能になります。すでに、報告された脆弱性の多くはパッチ適用されていますので、ご利用のチームに対しては、バージョン確認が推奨されます。よろしければ、Claude Code での検索結果も、ご参照ください。

M	T	W	T	F	S	S
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28

Share this: