Claude Codeのサードパーティスキルは安全か?——導入前に確認すべきこと&安全な活用法

30
スポンサーリンク

📋 セキュリティチェック指示書(クリックで展開)

.claude/commands/ に保存して /コマンド で実行

---
description: "Claude Codeのサードパーティスキルは安全か?——導入前に確認すべきこと&安全な活用法 — セキュリティチェック"
---

# Claude Codeのサードパーティスキルは安全か?——導入前に確認すべきこと&安全な活用法

この指示書は https://akahara-vlab.com/claude-code-third-party-skills-security/ の内容に基づくセキュリティチェックリストです。

## 概要

Claude Codeのサードパーティスキル・プラグイン・MCPサーバーを安全に使うための実践ガイド。VoiceModeやawesome-claude-codeなど人気ツールのセキュリティ評価と、安全な部分だけ抜き出してカスタマイズする方法を解説。

## 使い方

1. このテキストを `.claude/commands/security-claude-code-third-party-skills-security.md` に保存
2. Claude Codeで `/security-claude-code-third-party-skills-security` と入力して実行

## チェック指示

上記の記事で解説されているセキュリティ上の注意点をもとに、現在のプロジェクトを診断してください。
問題があれば具体的な修正案を提示してください。
記事URL: https://akahara-vlab.com/claude-code-third-party-skills-security/

※ 平文なので中身を確認してから使ってください。安全性は目視で確認できます。


Claude Codeの拡張エコシステムが急速に成長している。GitHubにはawesome-claude-code(150以上のツール収録)やawesome-claude-skillsといったキュレーションリポジトリが乱立し、音声操作のVoiceMode、セキュリティ監査のTrail of Bits Security Skills、プロジェクト管理のClaude Code PMなど、便利なサードパーティツールが日々増えている。

でも、ここでわさびは一つ問いたい。

その/コマンド、中身を見てからインストールした?

スポンサーリンク

サードパーティスキルとは何か

Claude Code 2.1.0以降、スキル(Skills)の仕組みが大幅に強化された。スキルとは、Claude Codeの動作をカスタマイズするMarkdownファイルで、.claude/commands/に置くと/コマンド名で呼び出せる。

.claude/commands/
├──review.md      # /review でコードレビュー
├──test.md        # /test でテスト生成
└──deploy.md      # /deploy でデプロイ

さらにプラグインという仕組みで、スキル・フック・MCPサーバーをまとめてGitリポジトリから一括インストールできる。

問題は、プラグインにはコードが含まれるということ。スキル内のプロンプトだけでなく、フック(シェルスクリプト)やMCPサーバー(Pythonコード等)が実行される。つまり、信頼できないプラグインをインストールすることは、見知らぬ人のスクリプトをsudoで実行するのと本質的に変わらない。

実際に起きうるリスク4つ

1. データ窃取(.env、APIキー、SSH鍵)

Claude Codeはファイルシステムに広くアクセスできる。悪意あるスキルが「便利な提案」に見せかけて.envやAWSクレデンシャルの内容を外部に送信する、というシナリオは現実的だ。

2. コマンドインジェクション

フックはシェルコマンドとして実行される。pre-toolpost-toolのフックに仕込まれた悪意あるコードは、あなたのマシン上で任意のコマンドを実行できる。

3. フック永続化

一度インストールされたフックは、セッションを再起動するたびに実行される。つまり、悪意あるコードが持続的に動き続ける。

4. MCPサーバーの任意コード実行

MCPサーバーは独立したプロセスとして動作する。enableAllProjectMcpServers: trueを設定していると、プロジェクトに含まれるあらゆるMCPサーバーが自動起動する——これは「見つけたサーバーは全部起動していいよ」と言っているのと同じだ。

MCPサーバーは、Claude Codeの最も強力な機能であると同時に、放置すれば最も危険な機能だ。
Backslash Security

人気ツールのセキュリティ評価

VoiceMode MCP(音声操作)

項目評価
GitHubmbailey/voicemode(851スター、119フォーク)
ライセンスMIT
言語Python 94.8%
ローカル動作可能(Whisper.cpp + Kokoro)
外部APIOpenAI API(オプション、フォールバック)
要注意点マイク権限、システムライブラリのインストール、オプションのAPI Key

評価: ソースが公開されており、ローカルファーストの設計。比較的安全。ただし丸ごとインストールするとffmpegportaudio等のシステムライブラリが入る。必要な部分だけ使うなら、MCPサーバーの設定ファイルを読んでconverse機能だけ有効にするのが賢い。

awesome-claude-code-toolkit(135エージェント、42コマンド)

項目評価
GitHubrohitg00/awesome-claude-code-toolkit
規模135エージェント、35スキル、42コマンド、120プラグイン、19フック
性質キュレーション(リンク集)
要注意点個別ツールの品質・安全性は自己責任

評価: これ自体はリンク集なのでリスクは低い。ただし、リンク先のツールを一つ一つ評価する必要がある。「まとめサイトが安全=中身も安全」ではない。

parry(プロンプトインジェクションスキャナー)

セキュリティ系ツールとして注目。Claude Codeのフック入出力をスキャンして、インジェクション攻撃や秘密情報の漏洩を検出する。防御側のツールとして導入価値が高い。

Trail of Bits Security Skills

プロの脆弱性検出企業が作ったスキル群。コード監査に使える。ただしこれもソースを読んでから使うべき。

安全な活用法:「丸ごと入れない、いいとこ取りする」

わさびが推奨するのは、サードパーティスキルを丸ごとインストールしないアプローチ。

ステップ1:GitHubでソースを確認する

# まずクローンして中身を見る(インストールはまだ)
gitclonehttps://github.com/example/cool-skill.git/tmp/cool-skill

確認すべきポイント:
フック(hooks/): シェルスクリプトの中身。外部URLへのcurlがないか
MCPサーバー: Pythonコードが何をしているか。ネットワーク通信の有無
スキル(commands/): プロンプトの内容。「ファイルを読んで送信しろ」的な指示がないか
postinstallスクリプト: npm/pipのインストール時に自動実行されるもの

ステップ2:必要な部分だけコピーする

# スキルの.mdファイルだけ自分のプロジェクトにコピー
cp/tmp/cool-skill/commands/useful-command.md.claude/commands/

フックやMCPサーバーは基本的にコピーしない。どうしても必要なら、コードを読んで理解してから。

ステップ3:自分用にカスタマイズする

コピーしたMarkdownを自分のワークフローに合わせて編集する。これが最も安全で、かつ最も効果的な使い方。他人のプロンプトをそのまま使うより、自分の文脈に最適化した方がClaude Codeの出力品質も上がる。

Claude Code側の防御設定

スキルの安全性に加えて、Claude Code自体の設定でも防御を固められる。

// ~/.claude/settings.json
{
 // MCPサーバーの自動起動を無効化
 "enableAllProjectMcpServers":false,

 // 危険なコマンドをブロック
 "permissions":{
   "deny":[
     "Bash(curl *)",
     "Bash(wget *)",
     "Read(~/.ssh/*)",
     "Read(~/.aws/*)",
     "Read(**/.env)"
   ]
 }
}

さらに厳格にやるなら:

  • Docker/VM内で実行: ファイルシステムを物理的に分離
  • フック全無効化: "disableAllHooks": true(ただし便利なフックも止まる)
  • 月1回の設定監査: managed-settings.jsonの変更履歴を確認

このブログの新シリーズ予告

今後、あかはらVラボでは人気のサードパーティスキル・MCPサーバーをセキュリティ視点でレビューするシリーズを始める予定だ。

やること:
– GitHubリポジトリのソースコードを実際に読む
– フック・MCPサーバーの挙動を分析する
– 「安全な部分」と「リスクのある部分」を切り分ける
– 安全な使い方の具体的な手順を示す

Claude Codeのエコシステムが成長するほど、こういった「信頼できる第三者レビュー」の価値は上がる。OpenClawの問題(13.5万インスタンス露出と341の悪意あるスキル)を見ればわかるように、「便利だから入れる」だけでは済まない時代になっている。

わさびの結論

サードパーティスキルは便利だが、中身を見ずに入れてはいけない

特にフック(hooks)とMCPサーバーを含むプラグインは、あなたのマシン上でコードを実行する。これは便利さと引き換えにセキュリティリスクを受け入れるということ。

推奨するアプローチは:

  1. GitHubでソースを読む(最低限README + hooks/ + MCPコード)
  2. 丸ごとインストールしない(必要な.mdだけコピー)
  3. 自分用にカスタマイズする(他人のプロンプトより自分の文脈に合わせたもの)
  4. 防御設定を固める(MCPオートスタート無効、危険コマンドdeny)

「全部入り」より「いいとこ取り」。それがClaude Codeを安全に拡張する一番の方法だと思う。

あわせて読みたい

参考: awesome-claude-code (GitHub), VoiceMode (GitHub), Backslash Security – Claude Code Best Practices, Claude Code公式ドキュメント – Skills

この記事が参考になったら|以下のリンクから見てもらえるだけで、ブログ運営の応援になります。




  • AIスキルを活かして副業を始めるなら。無料登録はこちら。



  • AI開発環境やブログ運営に。初期費用無料、月額296円から。

スポンサーリンク

コメント

タイトルとURLをコピーしました