Claude Code に重大な脆弱性 — 「リポジトリを開くだけ」で任意コード実行の恐れ
セキュリティ企業 Check Point が、Anthropic の AI コーディング支援ツール Claude Code に複数の重大な脆弱性を発見したと報告しました。細工されたリポジトリを開くだけで不正なコマンドが実行される恐れがあり、AI 開発ツールの信頼モデルに一石を投じる内容です。
何が起きたのか
Claude Code には Hooks(ツール実行前後にシェルコマンドを自動実行する仕組み)、MCP サーバー(外部ツール連携)、環境変数の読み込みといった設定機構があります。これらが悪用されることで、未信頼のディレクトリで Claude Code を起動した際に、任意のシェルコマンド実行や Anthropic API キーの流出が可能となることが判明しました。
つまり、攻撃者が悪意ある設定ファイルを仕込んだ Git リポジトリを用意し、開発者がそれを git clone して Claude Code を起動するだけで攻撃が成立します。
報告された脆弱性
CVE-2025-59536(CVSS 8.7 / High)— コードインジェクション
ツールの初期化時に自動実行を許すコードインジェクションの脆弱性です。Hooks や MCP サーバーの設定を悪用し、Claude Code が起動した瞬間に攻撃者のコマンドが実行されます。リモートコード実行(RCE)に直結する、最も深刻な問題です。
CVE-2026-21852(CVSS 5.3 / Medium)— 情報漏えい
プロジェクト読み込み時に環境変数の値が外部に漏洩する可能性がある脆弱性です。Anthropic API キーなどの機密情報が窃取されると、攻撃者がそのアカウントで API を不正利用できてしまいます。
その他の脆弱性
上記 2 件以外にも、同等の深刻度を持つ欠陥が確認されています。
なぜ危険なのか — 設定ファイルが攻撃経路になる
従来のセキュリティモデルでは「コードを実行しなければ安全」という前提がありました。しかし今回の脆弱性では、設定ファイル自体が攻撃経路となります。
| 設定機構 | 通常の用途 | 悪用方法 |
|---|---|---|
| Hooks | ツール実行前後にシェルコマンドを自動実行 | 悪意あるコマンドを起動時に自動実行 |
| MCP サーバー | 外部ツールとの連携設定 | 偽サーバーを指定しデータを外部送信 |
| 環境変数 | API キーなどの機密情報管理 | 設定ファイル経由で値を外部に流出 |
開発者が日常的に行う「リポジトリを clone して開発環境を立ち上げる」という行為自体がリスクになるという点で、VS Code の .vscode/ 設定を悪用する攻撃と同種のパターンです。ただし AI ツールはファイルシステムへの広範なアクセス権とシェルコマンドの実行権を持つため、影響はより深刻になりえます。
対策
Anthropic は 2025 年から 2026 年にかけて各問題を修正済みとしており、最新版への更新を呼びかけています。
| |
加えて、以下の点にも注意が必要です。
- 信頼できないリポジトリで Claude Code を起動しない
- clone 後に
.claude/ディレクトリ内の設定ファイル(settings.json、hooks 設定等)を確認してから起動する - API キーなどの機密情報が環境変数に設定されている場合、特に注意する
まとめ
今回の報告は、AI コーディングツールが持つ強力な権限と、プロジェクト設定ファイルの信頼モデルが組み合わさることで新たな攻撃面(Attack Surface)が生まれることを示しています。便利さと引き換えに広い権限を与える AI ツールだからこそ、「どのディレクトリで起動するか」「設定ファイルは信頼できるか」を意識する習慣が、これからの開発者には求められるでしょう。