SecurityWeekは7日（現地時間）、AIコーディングツール「Claude Code」の自動化機能が悪用されることで、サプライチェーン攻撃につながる恐れのある問題が確認されたと報じた。

Adversa.AIの研究者によると、攻撃者がGitHub上にマルウェアを仕込んだ悪意あるリポジトリを公開しておくと、開発者がClaude Codeで作業する過程で、そのリポジトリを自動的に取得させられる可能性がある。取得後は、開発者PCが遠隔操作される恐れがあるという。

開発者がClaude Codeで新たな作業を始めると、エージェントが利用するリポジトリを自動で検索する。悪意あるリポジトリが取得された後には、対象フォルダを信頼するかどうかを確認するダイアログが表示される。

このダイアログでは、「このプロジェクトを自分で作成した、または信頼できるプロジェクトか」と確認され、初期選択は「信頼」に設定されている。開発者がそのままEnterキーを押すだけで、攻撃者が用意した悪意あるサーバが開発者PC上で管理者権限により自動実行される恐れがある。Adversa.AIによれば、Claude Code側で追加のコマンド実行を促す必要もないという。

特にCI/CDパイプラインでClaude Codeを利用している場合、リスクは一段と大きい。攻撃ペイロードによって、環境変数やデプロイキー、署名証明書、実行アカウントの認証情報が読み取られ、ビルド工程への混入につながる可能性があると指摘している。

Adversa.AIの共同創業者兼CTO（最高技術責任者）、アレックス・ポルヤコフ氏は、「広く使われているツールを利用する開発者は、現実的な主要標的になり得る」とした上で、「Claude Codeは多くの開発者端末に導入されており、開発者は見知らぬリポジトリを日常的にクローンしているため、攻撃は十分に成立し得る」と述べた。

SecurityWeekによると、Adversa.AIはこの問題をAnthropicに報告したが、Anthropicは特段の対応を取らなかったという。ユーザーがフォルダを信頼すると選択した時点で、そのフォルダ内のすべての内容に同意したことになる、という立場だ。

これに対しAdversa.AIは、フォルダ内に何が含まれているのか分からない段階での同意を、「十分な情報に基づく同意」と見なせるかどうかには議論の余地があると反論した。