Claude Codeに深刻な脆弱性|ソースコード流出の数日後にAdversa AIが発見
2026年4月2〜3日、セキュリティ研究機関のAdversa AIがClaude Codeに深刻な脆弱性を発見した。ソースコードが流出した3月31日からわずか数日後のことだ。
注意: 本記事は情報提供を目的としています。脆弱性の詳細な悪用方法は掲載していません。
何が起きたのか
Adversa AIはAIシステムのセキュリティリサーチを専門とする組織で、AIツールの脆弱性評価を継続的に行っている。
今回、Claude Codeにおいて深刻な脆弱性が発見・報告された。詳細はAdversaの公式レポートで確認できる。
タイムラインで見る「流出→脆弱性発見」
| 日付 | 出来事 |
|---|---|
| 3月31日 | npm v2.1.88にソースマップ混入・流出発覚 |
| 4月1日 | GitHubに大量のクローンリポジトリが出現 |
| 4月1日 | AnthropicがDMCA申請(8,100件超) |
| 4月2〜3日 | Adversa AIが深刻な脆弱性を発見・報告 |
ソースコード流出との関係
直接的な因果関係は現時点では不明だが、重要な変化があったことは事実だ。
流出前: 脆弱性を探すにはブラックボックステスト(外側からの試行)が必要
流出後: ソースコードを直接読んで脆弱な箇所を特定できる状態になった
セキュリティの世界では「ソースコードの公開は両刃の剣」とよく言われる。善意の研究者も、悪意のある攻撃者も、同じコードにアクセスできるようになるからだ。
企業ユーザーへの影響
Claude Codeは個人開発者だけでなく、エンタープライズ環境でも使われている。脆弱性が存在する場合、リスクが高まる場面として以下が考えられる:
- コードベースへのアクセス権を持ったClaude Codeが動いている環境
- CI/CDパイプラインに組み込まれている場合
- 機密情報を含むリポジトリで使用している場合
対策
- 最新バージョンに更新: v2.1.90以降を使用する
- 最小権限の原則: Claude Codeに必要以上のファイルアクセス権を与えない
--allowedToolsの活用: 使用するツールを制限する/allowed-toolsコマンドで確認: 現在の許可設定を定期的に見直す
わさびの見解🐢
タイミングが悪すぎる。流出の数日後に深刻な脆弱性が見つかるのは、偶然かもしれないけど「ソースコードが公開されたから見つかった」可能性は十分ある。
Claude Codeはコードを書いてファイルを操作するツールなので、脆弱性があるとインパクトが大きい。最新バージョンへの更新と権限の見直しはすぐやったほうがいい。
Anthropicにとっては踏んだり蹴ったりな1週間だった。でもこういう発見があるから、製品は強くなっていく。
出典:
– SecurityWeek – Critical Vulnerability in Claude Code Emerges Days After Source Leak
コメント