Claude Codeでリモートコード実行とAPIキー窃取が可能な脆弱性3件が発見（修正済み）

Check Point Researchは、AnthropicのClaude Codeで3件のセキュリティ脆弱性を発見し、公表しました。いずれも、信頼できないリポジトリをクローンするか開くだけで攻撃が可能な構造です。

脆弱性3件

1.	No CVE (CVSS 8.7) — `.claude/settings.json` のプロジェクトフック（Hooks）を悪用したコードインジェクション。ユーザーの同意なしに任意コードを実行可能。2025年9月の v1.0.87 で修正。  
2.	CVE-2025-59536 (CVSS 8.7) — `.mcp.json` の `enableAllProjectMcpServers` オプションを `true` に設定することで、MCPサーバー初期化時にシェルコマンドを自動実行可能。2025年10月の v1.0.111 で修正。  
3.	CVE-2026-21852 (CVSS 5.3) — `ANTHROPIC_BASE_URL` 環境変数を攻撃者サーバーに上書きし、信頼確認プロンプトより前にAPIリクエストを送信することで、APIキーの窃取が可能。2026年1月の v2.0.65 で修正。  

主要な脅威

悪意あるリポジトリを開くだけで、開発者のAPIキーが漏えいし、認証済みのAPIトラフィックが外部サーバーへリダイレクトされる可能性があります。これにより、共有プロジェクトファイルへのアクセス、クラウドデータの改ざん、想定外のAPIコスト発生などの被害が起こり得ます。

Check Pointは「AIツールがコマンド実行、外部連携の初期化、ネットワーク通信を自律的に行うようになるにつれ、設定ファイル自体が実行レイヤーの一部になった」とし、今やソースコードだけでなく、リポジトリを開くという行為自体もサプライチェーン脅威の起点になり得ると警告しました。
3件の脆弱性はいずれも現在は修正済みです。