掲載済み (2026-03-07号)
#081 151文字 • 1分

Claude Codeに重大な脆弱性、設定ファイル経由でRCEやAPIキー窃取の恐れ

日本語
itmedia.co.jp

掲載情報

2026年3月7日土曜日号 未掲載

概要

AnthropicのAI開発ツール「Claude Code」において、プロジェクト設定ファイルを読み込むだけでRCE(遠隔コード実行)やAPIキーの窃取が可能な重大な脆弱性が発見された。

詳細内容

Check Point Software Technologiesの研究により、Anthropicが提供するAI開発支援ツール「Claude Code」に深刻な脆弱性が存在したことが明らかになりました。この問題は、悪意あるリポジトリ内の設定ファイルを読み込むだけで攻撃が成立するもので、主に3つのリスクが指摘されています。1つ目は「Hooks」機能を悪用した自動的なシェルコマンド実行、2つ目はMCP連携時の承認プロセス回避(CVE-2025-59536)、3つ目は認証ヘッダの転送によるAPIキーの窃取(CVE-2026-21852)です。これらにより、開発者が不審なプロジェクトを開くだけで、端末の制御やクラウド上のプロジェクト資産が奪われる危険性がありました。現在は修正済みですが、AI開発環境における『設定ファイル』が新たなサプライチェーン攻撃の経路となるリスクを浮き彫りにしています。
元記事を読む 他のサマリーを見る