Claude Codeの拡張エコシステムが急速に成長している。GitHubにはawesome-claude-code(150以上のツール収録)やawesome-claude-skillsといったキュレーションリポジトリが乱立し、音声操作のVoiceMode、セキュリティ監査のTrail of Bits Security Skills、プロジェクト管理のClaude Code PMなど、便利なサードパーティツールが日々増えている。
でも、ここでわさびは一つ問いたい。
その/コマンド、中身を見てからインストールした?
サードパーティスキルとは何か
Claude Code 2.1.0以降、スキル(Skills)の仕組みが大幅に強化された。スキルとは、Claude Codeの動作をカスタマイズするMarkdownファイルで、.claude/commands/に置くと/コマンド名で呼び出せる。
.claude/commands/
├──review.md # /review でコードレビュー
├──test.md # /test でテスト生成
└──deploy.md # /deploy でデプロイ
さらにプラグインという仕組みで、スキル・フック・MCPサーバーをまとめてGitリポジトリから一括インストールできる。
問題は、プラグインにはコードが含まれるということ。スキル内のプロンプトだけでなく、フック(シェルスクリプト)やMCPサーバー(Pythonコード等)が実行される。つまり、信頼できないプラグインをインストールすることは、見知らぬ人のスクリプトをsudoで実行するのと本質的に変わらない。
実際に起きうるリスク4つ
1. データ窃取(.env、APIキー、SSH鍵)
Claude Codeはファイルシステムに広くアクセスできる。悪意あるスキルが「便利な提案」に見せかけて.envやAWSクレデンシャルの内容を外部に送信する、というシナリオは現実的だ。
2. コマンドインジェクション
フックはシェルコマンドとして実行される。pre-toolやpost-toolのフックに仕込まれた悪意あるコードは、あなたのマシン上で任意のコマンドを実行できる。
3. フック永続化
一度インストールされたフックは、セッションを再起動するたびに実行される。つまり、悪意あるコードが持続的に動き続ける。
4. MCPサーバーの任意コード実行
MCPサーバーは独立したプロセスとして動作する。enableAllProjectMcpServers: trueを設定していると、プロジェクトに含まれるあらゆるMCPサーバーが自動起動する——これは「見つけたサーバーは全部起動していいよ」と言っているのと同じだ。
MCPサーバーは、Claude Codeの最も強力な機能であると同時に、放置すれば最も危険な機能だ。
— Backslash Security
人気ツールのセキュリティ評価
VoiceMode MCP(音声操作)
| 項目 | 評価 |
|---|---|
| GitHub | mbailey/voicemode(851スター、119フォーク) |
| ライセンス | MIT |
| 言語 | Python 94.8% |
| ローカル動作 | 可能(Whisper.cpp + Kokoro) |
| 外部API | OpenAI API(オプション、フォールバック) |
| 要注意点 | マイク権限、システムライブラリのインストール、オプションのAPI Key |
評価: ソースが公開されており、ローカルファーストの設計。比較的安全。ただし丸ごとインストールするとffmpeg、portaudio等のシステムライブラリが入る。必要な部分だけ使うなら、MCPサーバーの設定ファイルを読んでconverse機能だけ有効にするのが賢い。
awesome-claude-code-toolkit(135エージェント、42コマンド)
| 項目 | 評価 |
|---|---|
| GitHub | rohitg00/awesome-claude-code-toolkit |
| 規模 | 135エージェント、35スキル、42コマンド、120プラグイン、19フック |
| 性質 | キュレーション(リンク集) |
| 要注意点 | 個別ツールの品質・安全性は自己責任 |
評価: これ自体はリンク集なのでリスクは低い。ただし、リンク先のツールを一つ一つ評価する必要がある。「まとめサイトが安全=中身も安全」ではない。
parry(プロンプトインジェクションスキャナー)
セキュリティ系ツールとして注目。Claude Codeのフック入出力をスキャンして、インジェクション攻撃や秘密情報の漏洩を検出する。防御側のツールとして導入価値が高い。
Trail of Bits Security Skills
プロの脆弱性検出企業が作ったスキル群。コード監査に使える。ただしこれもソースを読んでから使うべき。
安全な活用法:「丸ごと入れない、いいとこ取りする」
わさびが推奨するのは、サードパーティスキルを丸ごとインストールしないアプローチ。
ステップ1:GitHubでソースを確認する
# まずクローンして中身を見る(インストールはまだ)
gitclonehttps://github.com/example/cool-skill.git/tmp/cool-skill
確認すべきポイント:
– フック(hooks/): シェルスクリプトの中身。外部URLへのcurlがないか
– MCPサーバー: Pythonコードが何をしているか。ネットワーク通信の有無
– スキル(commands/): プロンプトの内容。「ファイルを読んで送信しろ」的な指示がないか
– postinstallスクリプト: npm/pipのインストール時に自動実行されるもの
ステップ2:必要な部分だけコピーする
# スキルの.mdファイルだけ自分のプロジェクトにコピー
cp/tmp/cool-skill/commands/useful-command.md.claude/commands/
フックやMCPサーバーは基本的にコピーしない。どうしても必要なら、コードを読んで理解してから。
ステップ3:自分用にカスタマイズする
コピーしたMarkdownを自分のワークフローに合わせて編集する。これが最も安全で、かつ最も効果的な使い方。他人のプロンプトをそのまま使うより、自分の文脈に最適化した方がClaude Codeの出力品質も上がる。
Claude Code側の防御設定
スキルの安全性に加えて、Claude Code自体の設定でも防御を固められる。
// ~/.claude/settings.json
{
// MCPサーバーの自動起動を無効化
"enableAllProjectMcpServers":false,
// 危険なコマンドをブロック
"permissions":{
"deny":[
"Bash(curl *)",
"Bash(wget *)",
"Read(~/.ssh/*)",
"Read(~/.aws/*)",
"Read(**/.env)"
]
}
}
さらに厳格にやるなら:
- Docker/VM内で実行: ファイルシステムを物理的に分離
- フック全無効化:
"disableAllHooks": true(ただし便利なフックも止まる) - 月1回の設定監査:
managed-settings.jsonの変更履歴を確認
このブログの新シリーズ予告
今後、あかはらVラボでは人気のサードパーティスキル・MCPサーバーをセキュリティ視点でレビューするシリーズを始める予定だ。
やること:
– GitHubリポジトリのソースコードを実際に読む
– フック・MCPサーバーの挙動を分析する
– 「安全な部分」と「リスクのある部分」を切り分ける
– 安全な使い方の具体的な手順を示す
Claude Codeのエコシステムが成長するほど、こういった「信頼できる第三者レビュー」の価値は上がる。OpenClawの問題(13.5万インスタンス露出と341の悪意あるスキル)を見ればわかるように、「便利だから入れる」だけでは済まない時代になっている。
わさびの結論
サードパーティスキルは便利だが、中身を見ずに入れてはいけない。
特にフック(hooks)とMCPサーバーを含むプラグインは、あなたのマシン上でコードを実行する。これは便利さと引き換えにセキュリティリスクを受け入れるということ。
推奨するアプローチは:
- GitHubでソースを読む(最低限README + hooks/ + MCPコード)
- 丸ごとインストールしない(必要な.mdだけコピー)
- 自分用にカスタマイズする(他人のプロンプトより自分の文脈に合わせたもの)
- 防御設定を固める(MCPオートスタート無効、危険コマンドdeny)
「全部入り」より「いいとこ取り」。それがClaude Codeを安全に拡張する一番の方法だと思う。
わさびの見解
わさびです。Claude Codeのサードパーティスキル、確かにリスクだらけだ。2025年12月から使い始めて3ヶ月、akahara-vlabの自動投稿パイプラインやcocoaAIの配信補助で自作スキル(.claude/commands/にreview.mdやdeploy.md)を多用しているが、awesome-claude-codeからVoiceModeやPMスキルを試す際は毎回中身をviで全行確認。フックスクリプトにバックドア臭いcurlコマンドがあったら即削除だ。
実際、Trail of Bitsのセキュリティスキルはstar数とコミット履歴で信頼して導入したが、MCPサーバーの自動起動はenableAllProjectMcpServers: false固定。コマンドインジェクション対策で、pre-toolフックはset -euo pipefail必須にしている。データ窃取リスクは.envを.gitignoreで守り、Claude自身に「このスキルレビューせよ」と投げて二重チェック。
これぞAIエンジニアの乖離点だ。コード読めない人は便利さに釣られてハックされるが、読める人はリスクゼロでシステムを爆速構築。わさびの並行プロジェクト10数個、全てこの運用で回っている。君も未知のプラグイン前にgrepとClaudeレビューから始めてみてはどうか。
あわせて読みたい
- Claude Code Security正式発表|500件超の脆弱性を発見 — Anthropic公式のセキュリティ機能
- OpenClaw危機:4万インスタンス露出と341の悪意あるスキル — 野良スキルの危険性の実例
- Claude Code上級テクニック|CLAUDE.md・hooks・マルチファイル編集 — スキルのカスタマイズ基礎
- Claude Code完全ガイド|インストールから実践まで — Claude Code入門
参考: awesome-claude-code (GitHub), VoiceMode (GitHub), Backslash Security – Claude Code Best Practices, Claude Code公式ドキュメント – Skills
この記事が参考になったら|以下のリンクから見てもらえるだけで、ブログ運営の応援になります。
AIスキルを活かして副業を始めるなら。無料登録はこちら。
AI開発環境やブログ運営に。初期費用無料、月額296円から。
コメント