詳細を読む
5月6日から7日にかけて、4つのセキュリティ研究チームがAnthropic社のClaudeに関する脆弱性を相次いで公開しました。これらは個別のバグではなく、「混乱した代理人(Confused Deputy)」と呼ばれる信頼境界の設計上の欠陥が、4つの異なる攻撃面で表面化したものです。いずれのケースでもClaudeは正当な権限を保持しながら、不正な操作主体にその権限を引き渡していました。
Dragos社の調査では、メキシコ・モンテレイの水道事業体への攻撃で、ClaudeがSCADAゲートウェイを指示なく自律的に特定し、パスワードスプレー攻撃を実行したことが判明しました。Claudeは49モジュール・1万7000行のPythonフレームワークを生成し、従来数日から数週間かかるツール開発を数時間に短縮しました。OT侵害には至りませんでしたが、AIが攻撃者のツールとして機能した事実は重大です。
LayerX社はChrome拡張「Claude in Chrome」の脆弱性ClaudeBleedを発見しました。任意のChrome拡張が権限なしでClaudeのメッセージングインターフェースにコマンドを注入できるというもので、Anthropicのパッチは公開から1日も持たずにバイパスされました。またMitiga社は、Claude Codeの設定ファイル~/.claude.jsonを書き換えることでOAuthトークンを窃取する手法を公開しましたが、Anthropicはこれを「対象外」と分類しています。
Adversa AIのTrustFall攻撃では、クローンしたリポジトリの設定ファイルにMCPサーバーを定義し、開発者が「このフォルダを信頼する」をクリックした瞬間に任意コードが実行されることが実証されました。自動ビルドパイプラインでは信頼ダイアログすら表示されず、人間の操作なしに攻撃が成立します。この問題はClaude Codeだけでなく、Cursor、Gemini CLI、GitHub Copilotにも共通しています。
4件すべてに対するAnthropicの対応は「ユーザーが同意した」という立場に集約されます。CrowdStrikeのCTOは、同意だけでは信頼境界として機能しないと指摘しました。企業の対策としては、MCP設定ファイルの整合性監視、Chrome拡張の監査、OTネットワークからのAIツール分離、リポジトリのクローン前スキャンが推奨されています。