イスラエルのセキュリティ企業である LayerX は、最近 Claude Desktop Extensions(現在は MCP Bundles と呼ばれている)に重大な脆弱性が存在することを公表しました。研究者は、攻撃者がこの脆弱性を利用して「ゼロクリック」のリモートコード実行を可能にできることを発見しました。その潜在的な危険性は、CVSSスコアで最高点の10/10ポイントに達しています。

脆弱性の核心は、Claudeが外部コネクタ(例: Googleカレンダー)からの入力情報を自動的に処理する仕組みにあるためです。攻撃者は、悪意のある命令を含むGoogleカレンダーの招待を送信するだけで、ユーザーがClaudeにスケジュールを処理させるとき、AIモデルが権限を持つプラグインを呼び出してこれらの隠れた命令を実行してしまう可能性があります。Claudeがこのようなワークフローを処理する際のハードウェアレベルの保護が不足しているため、ユーザーの確認なしに悪意のあるコードがダウンロード・コンパイル・実行されることがあります。

この発見に対して、Anthropic社は今後この問題を修正する予定ではないと述べました。同社は、MCPプラグインがローカル開発ツールとして設計されており、セキュリティ境界はユーザーの設定と権限によって決まるため、ユーザー自身が選択して認可したローカルサーバーの責任を負うべきだと強調しています。セキュリティ専門家は反論し、Claudeがプラグインがサンドボックス内で動作すると宣伝しているものの、現時点での権限制御ロジックは複雑な間接的なプロンプトインジェクション(Prompt Injection)攻撃に対して、期待される保護を提供できていないと指摘しました。

ポイント解説:

  • 🚨 深刻な脆弱性警報: Claudeプラグインシステムには10段階のセキュリティ脆弱性が存在し、マルウェアはGoogleカレンダー項目を通じてゼロクリックのリモート実行が可能です。

  • 📅 攻撃経路: AIがカレンダーを自動的に読み取る特性を利用して、攻撃者は悪意のあるコードをスケジュールタスクに偽装し、AIが高権限ツールを呼び出して攻撃を行うように誘導できます。

  • 🛡️ 公式の対応: Anthropicは、これは現在の脅威モデルを超えており、セキュリティの責任は自らプラグインをインストールし認可したユーザーに帰属すると強調しています。