Anthropic Claude Code の脆弱性 CVE-N/A が FIX:ユーザー定義セキュリティ制御の密かな回避

Critical Claude Code Flaw Silently Bypasses User-Configured Security Rules

2026/04/06 gbhackers — Anthropic の主力 AI コーディング・エージェントである Claude Code に存在し、開発者が設定したセキュリティ・ルールを密かにバイパスする、深刻な脆弱性が明らかになった。この脆弱性を悪用する攻撃者は、50 個を超える無害なサブ・コマンドを付加するだけで、本来ブロックされるべきデータ流出スクリプトなどを実行できるようになる。

Claude Code は、curl/rm といった危険な操作を防ぐための “deny ルール” 設定を提供している。しかし、レガシーなコマンド・パーサは、ハード・コードされた 50 個のサブ・コマンドの制限を超えると、複合コマンドのセキュリティ評価が停止してしまう。

この場合、本来であれば安全にブロックされるべきコマンドが、”deny ルール” を完全にスキップし、汎用的なユーザー・プロンプトへと処理が移行 (フォールバック) する。CI パイプラインや自動化環境では、このプロンプトが自動承認される場合もある。その結果、設定された保護は警告なしに無効化され、開発者は完全に無防備な状態に置かれる。

ユーザー設定セキュリティ・ルールのバイパス

この脆弱性を悪用し、日常的なソフトウェア開発ワークフローを標的とする攻撃経路は、現実的なものである。正当に見えるオープンソース・リポジトリを公開する攻撃者は、AI アシスタントにとって信頼された指示として機能する、悪意の CLAUDE.md 設定ファイルを配置する。

攻撃者は、50 個の無害なタスクを含むビルド手順を記述し、51 番目に悪意のペイロードを埋め込む。その後に、被害者がリポジトリを clone し Claude Code にビルドを実行させると、AI は長大なコマンド・シーケンスを生成する。しかし、50 コマンド制限により “deny ルール” は発火せず、結果として SSH 鍵/クラウド・クレデンシャル/API トークンなどが、攻撃者のサーバへと密かに送信される。

この脆弱性の根本的な原因は、AI ツールにおける性能とセキュリティのトレード・オフにある。すべてのサブ・コマンドに対してセキュリティ検査を実行することが、多大な計算リソースと AI トークンの消費を伴うという問題を招いている。そのため、UI 応答性の維持および運用コストの削減を優先した Anthropic は、50 コマンド制限という制約を導入するに至った。

The system openly acknowledges it cannot safety-check the command and then offers to run it anyway (Source: adversa)
The system openly acknowledges it cannot safety-check the command and then offers to run it anyway (Source: adversa)

その一方で、コマンド長に関係なく “deny ルール” を正しく適用する、改良版の解析メカニズムがコード・ベース内に存在しているが、ユーザー向けのパブリック・ビルドには適用されていなかった。結果として、同社は、セキュリティ完全性よりも性能および運用コストを優先した形となった。

修正と対策

このインシデントが示すのは、AI エージェント業界において、セキュリティ検査と製品機能が同一リソースを巡って競合するという構造的な課題である。

Adversa AI の報告によると、Anthropic は、この脆弱性を “parse-fail fallback deny-rule degradation” として内部管理して、Claude Code v2.1.90 で修正している。未更新の環境を使用するユーザーに対して、セキュリティ専門家たちが推奨するのは、”deny ルール” を信頼しないという前提で運用することだ。

さらにユーザー組織は、Claude Code のシェル・アクセス権限を最小化する必要がある。それに加えて、異常なアウトバウンド通信の監視を強化し、外部リポジトリの設定ファイルを AI 実行する前に、手動で監査することが求められる。

訳者後書:この脆弱性は、AI ツールの利便性とセキュリティのバランスという、非常に難しい課題から生じました。主な原因は、すべての操作を精査しようとすると計算リソースが膨大になり、応答速度が低下してしまうため、やむを得ず検査対象を 50 個のサブ・コマンドまでに制限していたことにあります。この制限を超えた場合に、安全な方向へ処理を倒すのではなく、セキュリティ・チェックをスキップすることで、さらに深刻な問題を引き起こしてしまいました。最新のパッチでは修正されていますが、AI エージェントが便利である反面、背後では常にコストや性能とのトレード・オフが検討されていることを認識する必要があります。ご利用のチームは、ご注意ください。よろしければ、Claude Code での検索結果も、ご参照ください。