AnthropicのAIコーディング支援ツール「Claude Code」で、ソースコード流出問題に続き重大なセキュリティ脆弱性が指摘された。発端はnpm上でデバッグ用のJavaScriptソースマップが公開されたことで、これをきっかけにコード解析が進み、権限制御を回避できる可能性も浮上している。

SecurityWeekによると、問題が明らかになったのは3月31日（現地時間）。AnthropicがClaude Code v2.1.88を更新した際、デバッグ用のJavaScriptソースマップがパッケージレジストリのnpm上で公開された。

これを発見した研究者のチャオファン・ショウ氏がX（旧Twitter）で共有し、開発者の間でClaude Codeの解析が進んだ。

セキュリティ企業Taniumのシニアディレクター、メリッサ・ビショッピング氏は、「今回の流出は、モデルの重みや学習データ、顧客データの漏えいとは性格が異なる」と説明。「現行版Claude Codeの設計や運用の考え方を示す資料に近い」との見方を示した。

流出した情報には、Claudeのモデルの重み、学習データ、API、認証情報は含まれておらず、直接的な悪用は容易ではないとされる。ただ、Claude Codeを装った模倣ツールの作成に利用され、マルウェアの混入や認証情報の窃取につながる恐れがあるとの懸念も出ている。

一方、Adversa AIのレッドチームは、ソースコード流出とは別に、Claude Code自体に重大な脆弱性があると報告した。Claude Codeには、特定のコマンドを自動で許可または遮断する権限システムがあり、例えばデータ流出対策としてcurlやwgetを遮断し、npmやgitを許可するといった運用が想定されている。

しかし、この遮断ルールは回避可能だという。Anthropicは、複合コマンドの処理時にUIがフリーズするのを防ぐため、下位コマンドの解析対象を50件に制限し、それを超える場合はユーザーに確認を求める設計を採っている。だが、悪意のあるCLAUDE.mdファイルを使ったプロンプトインジェクション攻撃により、AIに50件を超える下位コマンドのパイプラインを生成させることができると指摘されている。

Adversa AIは、「テストでは、ClaudeのLLMセーフティレイヤーが一部の明白な悪性ペイロードを自律的に遮断した」としたうえで、「今回の権限システムの脆弱性は、LLMレイヤーとは別に存在するセキュリティポリシー執行コードのバグだ」と説明した。