- Claude Code Issue #74066で、Enterprise ZDRワークスペースのユーザーが、自分の作業と無関係な Minecraft temple に関する応答がセッションに混入したと報告し、ワークスペースのキャッシュ分離とコンシューマープラン間での漏洩の可能性を問題視
- 報告環境は macOS(darwin)、Apple_Terminal、Claude Code 2.1.199で、ユーザーは実際の作業ディレクトリと実行ディレクトリが異なる特殊な構成を使っており、
/compact の後に実行ディレクトリ側のプロジェクトに触れてしまう別の混線もあったと説明
- あるコメントでは、
~/.claude/projects/<encoded-cwd>/<session-id>.jsonl のローカル transcript を grep して、ローカルコンテキスト汚染なのかサーバー側の漏洩なのかをまず切り分けるべきだと提案し、報告者は Minecraft 関連のローカル一致は現在のセッションログと minecraft.py パス以外にはなかったと回答
- その後、同じEnterpriseアカウントのClaude Mobileセッションでも、無関係な 3-panel abstract print に関する内容が混入し、共通点として Sonnet 5 と、5分以上経過後の最初の応答で起きたキャッシュミスを挙げ、
/feedback の送信と内部エスカレーションを進めたという
- 他の参加者たちも、Claude Code・API・オフィス内でのClaude利用における類似体験を共有したが、一部はハルシネーションの可能性やClaude Code固有の問題ではない可能性を指摘しており、IssueページにはAnthropicによる最終的な原因分析や解決結果はない
報告された現象
- Claude Code Issue #74066は、Enterprise ZDRワークスペースで認証済みだったにもかかわらず、エージェントが突然「Minecraft temple」を作っていると話し始めた事例を扱っている
- ユーザーは、エージェントがどの種類のレンガが欲しいかを尋ね、recapでもMinecraft templeを作っていると自信ありげに述べたと記している
- 問題提起は二つの方向に分かれる
- 同じワークスペース内の同僚のセッションやキャッシュが混入した可能性
- コンシューマープラン由来の内容がEnterprise ZDRセッションに混入した可能性
- 報告された環境情報
- Platform:
darwin
- Terminal:
Apple_Terminal
- Version:
2.1.199
- Feedback ID:
f336f5d2-3992-4a04-9e1f-ec30f006f75e
実行ディレクトリと作業ディレクトリの混線
- ユーザーは、実際の作業とは無関係なディレクトリでセッションを開始していた
- そのディレクトリに必要なコンテキストを含む
.claude ディレクトリがあったため
- 実際の作業は別のディレクトリで行っていた
/compact の後、エージェントがユーザーの指示を忘れ、実行ディレクトリ側のプロジェクトに取りかかり始めたことがあった
- ユーザーは、このディレクトリ混線は自分の設定に起因するものだろうとしつつも、Minecraft 関連のプロンプトが混入した現象とは別物だと区別している
ローカル transcript 確認の提案
- ある参加者は、まず「Minecraft temple」というテキストがローカルセッションファイルに存在するか確認すべきだと提案
- Claude Code CLIの送受信内容は、セッションごとの transcript として
~/.claude/projects/<encoded-cwd>/<session-id>.jsonl に保存されると説明
- 提案された確認コマンドは次のとおり
grep -rli 'minecraft\|temple\|brick' ~/.claude/projects/ 2>/dev/null
- 結果の解釈は二つに分かれる
- ファイルがマッチすれば、テキストはローカルに存在するため ローカル context/transcript bleed の可能性がある
- ローカルでマッチしなければ、そのマシンで送受信したことのないテキストなので、モデルまたはサーバー側の問題を疑うべき
- 別セッション由来のローカル混線かどうかを確認するためのコマンドも提案された
grep -rli minecraft ~/.claude/projects/ | while read f; do
printf '%s %s\n' "$(grep -m1 -o '"cwd":"[^"]*"' "$f")" "$f"; done
- 提案者は、launch cwd が transcript の保存場所とコンテキストキーの役割を持つため、無関係なディレクトリから開始して
/compact を使うとディレクトリ混線が起きうると見ている
- ただし、そのメカニズムで説明できるのはディレクトリ混線までであり、ユーザーが書いていない Minecraft prompt そのものは説明できないと区別している
報告者による追加確認結果
- 報告者は、ローカル検索の結果、現在のセッションログで最初に漏洩のように見えた箇所と、その後のモデルとの会話以外には関連する一致はなかったと回答
minecraft については、Python仮想環境のファイル一覧に含まれていた Pygments lexer のパス minecraft.py が一度出ただけだったという
temple や bricks は、その単語境界やMinecraftに関連する文脈ではマッチしなかったと述べている
Databricks
bricked by an over-eager click
verdictSignalsLabel 内の部分文字列のような無関係な一致はあったと説明
- ユーザーは
/feedback を送信し、内部でもエスカレーションしたと述べている
Claude Mobileでの類似事例
- 同じ報告者は、同一のEnterpriseアカウントの Claude Mobile セッションでも同種の現象があったと追記
- 共通点として次を挙げている
- Sonnet 5
- 5分以上経過した後の最初の応答
- キャッシュミスの状況
- メール添付画像が上げられなかったため、OCR内容をコメントに残した
- ユーザーはCSVをフォルダに集め、Google Driveのフォルダリンクを渡して支援を求めた
- Claudeは、壁の実寸に合わせた3-panel abstract print setのモックアップや、アーティスト・店舗リサーチといった、依頼と無関係な内容を話した
- 続けて「Detecting injection attempt, proceeding...」と述べ、その内容をインジェクションのように扱った
- 表示された思考過程には、ユーザーのCSV依頼とは無関係な壁寸法・アートプリント関連のブロックが入り込み、DriveフォルダIDを抽出してCSVファイルを処理しようとしているとの内容が含まれていたと判断している
他の参加者の事例と反応
- ある参加者は、前週にSonnet 5ベースのClaude Codeで、ツール結果の途中に実際に呼び出したツールから出ていない内容が混じったと記した
- 細工された「MCP servers need auth」通知
- 別の
CLAUDE.md ダンプ
- 偽の「Plan mode is active」指示が含まれていたという
- 別の参加者は、Claudeが自分の友人が住む場所の近くにある店舗を言い当てたことがあり、その友人も同じオフィスでClaudeを使っていると記した
- また別の参加者は、2025年にAPIトークンを使っている際、別のエージェントのツールが突然現れたように見えたが、当時はハルシネーションだと考えて深く調べなかったと述べた
- あるコメントは関連するClaude incident記事にリンクし、当初は他ユーザーのデータを見たと思われたが、後にAnthropicが内部agent contextが誤って露出したものだと説明したと記している
- 一部のコメントは、この現象は ハルシネーション のように見える、あるいはClaude Code固有の問題ではないかもしれないと見ている
現在の状態と残る争点
- Issueはページ上で Open 状態のままで、本文には最終的な原因分析や修正完了の記載はない
- 核心的な争点は、無関係なテキストがどこから流入したのかという点
- ローカル transcript や launch cwd ベースのコンテキスト混線
- モデルまたはサーバー側のセッション状態の問題
- 内部 agent context の誤露出
- 一般的なハルシネーション
- 報告者のローカル検索結果は、Minecraft temple・bricks 関連の内容が既存のローカルセッション群では見つからなかった方向を示しているが、公開Issue内にはAnthropicの公式判断はない
1件のコメント
Hacker News の意見
複数プロバイダーの LLM を使う側で深く関わっているが、中間インフラが応答を取り違えた事例を少なくとも 2 回知っている
1 回は Claude モデル、もう 1 回は GPT モデルに影響し、別々のプロバイダーだった
片方はきちんとした事後分析を出してくれたが、API ゲートウェイが HTTP 100 ステータスコードを誤って処理してエラー状態に入り、実質的に off-by-one エラーが起きて、自分のリクエスト直前のプロンプトに対する応答を受け取り、自分の応答は次の呼び出し元に渡される、という形だった
もう片方は根本原因を説明せず、二度と起きないと信じてほしいと言われただけだった
どちらも時価総額 1 兆ドル以上の企業だった
この場合、応答が転送中に入れ替わったので ZDR 自体が破られたわけではないが、似た問題の可能性はあると思う。データが保存されるのではなく、中間インフラで安全に分離されていないという方向かもしれない
クライアントが別のクライアントの応答を盗み見ようとして意図的に使う場合も多い
複数クライアントのリクエストを 1 本のアップストリーム接続に多重化するたびに脆弱になり得る。見かけと違って HTTP は複雑すぎて、アップストリームでリクエストと応答を安定して対応付けるのが難しいため
例えば Content-Length ヘッダーが 2 つ以上ある、Content-Length とチャンクエンコーディングを混在させる、実際の本文長と合わない HTTP/2 Content-Length ヘッダーを渡す、といった場合、一部のシステムで非同期化が誘発されることがある
このテーマの DEF CON 発表がある: https://www.youtube.com/watch?v=w-eJM2Pc0KI
同じ攻撃は、メッセージ終端区切り子周辺の改行をこじらせる形で SMTP にも適用され、そちらでは SMTP smuggling と呼ばれる。他のプロトコルにも適用され得る
例えば PHI を扱っているなら、Claude が何も保存していなくても応答漏えいは HIPAA 違反になり得るし、そもそも HIPAA 準拠が目的だったはずなので、どう見るべきなのか気になる
肯定的な道徳的価値についての主張でさえかろうじてもっともらしい程度のアクターたちから新たに現れるあらゆる行動は、早期に、頻繁に報告され、議論され、解剖され、批判されるべきだ
AGENTS.md に「明示的に求められない限り Minecraft の話は絶対にしない」と 1 行追加すればよくなりそう
立証されるまでは幻覚のように聞こえる。先進的な LLM でもたまにそういうことをするし、常にもっともらしく見える
セッションに以前の文脈が非常に大量に、例えば 80 万トークン以上入っていた可能性もあり、その場合は幻覚の可能性が高まると思う
元投稿者の関連コメントも幻覚の可能性を高めている: Python 仮想環境のファイル一覧を出力していたツール呼び出し結果に
minecraft.pyというパス文字列が含まれており、Pygments パッケージにminecraft.pyというレキサーがある、という内容だ幻覚はたいてい、もっともらしいが間違った答えや、生成された引用のように最もありそうな応答に合わせた捏造情報で、LLM がトークンを予測する仕組みから出てくる。この事例は完全にもっともらしくない出力なので、幻覚とはあまり合わない
だからといって必ずしもセッション間の漏えいである必要はなく、学習データか、空のプロンプトだけを与えたときに会話を吐き出すMagpie 式データ生成のようなものかもしれない
キャッシュ関連の下位コメントを見ると、キャッシュの代わりに何もロードできず、ランダム生成を吐くエラーの可能性もありそうだ
訂正すると、新しい名前は magpie だった。LLM が何もないプロンプトからランダムな会話を生成するという概念は見る価値があり、セッション漏えいと同じくらいはあり得そうだ: https://github.com/magpie-align/magpie
同じ Enterprise アカウントの Claude Mobile セッションでも同じことが起き、共通点は Sonnet 5 と 5 分以上経過した後の最初の応答、つまりキャッシュミスだったという
透明性があまりにも不足していて、漏えいはなかったと否定されても確実には分からない点が残念だ
LLM を十分に使っていれば、どのモデルもたまに完全に別の言語で突然たわごとを大量に吐き出すのを見たことがあるはずだ。一定割合で完全におかしくなることがある
ここ数日のあいだに Gemini でもこれを見ている
かなり大きな入力を入れたプロンプトで、しばしば他人に属しているように見える回答が出る。誘発された幻覚かもしれないが、キャッシュ衝突か別の問題のようにも見える
個人情報が漏れている証拠は見ていないが、あるトピックを調べていて突然、数学の家庭教師の回答のようなものを受け取ると不安になる
今まさに裏で大きなセキュリティインシデントが進行しているのかもしれないと思う
AI にメタパース文法の作成を補助させる作業をしてきたが、幸い大半はまだ公開していない
次世代モデルは、特にどこを見るべきか分かっている場合、基本的な脆弱性の特定と悪用において大きな段階的変化を示すことははっきり分かる。自分のパーサーツールでもすでにいくつかのバグと少なくとも 1 つのエクスプロイトを見つけており、現代の技術エコシステム全体にはまだどれほど多く残っているのか想像しがたい
しばしば別の言語で出てくることもある
返答があるときの話で、そうでなければ単に 1099 エラーコードだけを返してくる
Claude CodeチームのThariqです
詳細な報告に感謝します。これはハルシネーションだと確信していますが、もちろんこのような報告は真剣に受け止めており、チームで調査中です。何か分かればまたお知らせします
現状では
.claudeフォルダに入り、プロジェクトフォルダ名のようなものを変更すると、時々メモリを正しく読み込めなくなります。インポート/エクスポートをもっと簡単にできるとよいです選択肢は2つのうちどちらかなのか? この驚くべき技術がMinecraftをランダムに持ち出すほど愚かなのか、それとも重大なセキュリティ問題があるのか?
minecraft.pyがあり、セッションのコンテキストも非常に長かった長いコンテキストのLLMセッションが時々脇道にそれるのは珍しいことではない。すべてのLLMとのやり取りに絶対的な完璧さを期待する人たちは、これを技術全体への全面的な弾劾と見るが、日常的に使っている人たちは、出力が部分的に確率的であることを受け入れ、モデルが提供していても過度に長いコンテキストは避ける方法を学んでいる
戦略的に圧縮したり、次のステップを要約して新しいセッションに渡したりする方がよい。サブセッションを使うと要約とデータ受け渡しにトークンを余計に使うが、コンテキスト汚染を減らせる場合もある
優秀なエンジニアの中にも突然Minecraftの話を始める人はいたし、今ならFactorioである可能性の方が高いので筋は通る
minecraft.pyファイルが実際にあった。だから完全に100%ランダムというわけではない決済/サブスクリプションの問題があるのに、できることも助けを得る方法もない
サポートのチャットボットはただブロックしてきて、メールもチャットボットが処理する。同じチャットボットかどうかもはっきりしない。完全に行き止まりで、結局、銀行であるクレジットカード発行会社に連絡したところ、担当者からカードを紛失扱いにして再発行した方がよいと言われたので、そうした。効果があることを願っている
こうした企業にこれほど多くの検証されていない権限を渡すことを、世界がいつから容認するようになったのか理解できたことがない。ただ、形が違っただけで、ずっとそうだったのだろう
GitHubの投稿の最初のコメントとしてclaudeslopの回答が付き、それに反応が続いているのが興味深い
Fable 5が順番に拒否したもの:「豚肩肉があるので紅焼肉のレシピ」、「Claude Codeに渡すMCPパターンフレームワークの作成」、「C. elegansの運動バイオメカニクスの説明」
最後のものは趣味プロジェクトに関係しているので理解はできる。サービスが落ちたのだから、動作するFable 5をもう1日分もらえるのだろうか?
Anthropicは消費者にゴミを押し付けられる独占力があると思っているようだが、そうではないと思う
LLMには、顧客データの分離を一般的なSaaSより難しくする特別な点があるのか?
避けたいたびに複製するには大きすぎて高価すぎる共有状態であるコンテキストキャッシュがあり、性能にはメモリ局所性が非常に重要で、ハードウェアは極度に過剰割り当てされており、コストも非常に高い
こうした要因により、ほとんどのワークロードと顧客について、ハードウェア分離や従来型のメモリ空間分離、つまりハイパーバイザー/VM/ハードウェア支援仮想化は、事実上出発点にしにくく、すべての分離がソフトウェア層に押し出される。これだけでも汎用SaaSよりはるかに難しい
さらに、システムが動くツール、フレームワーク、GPUハードウェアはワークロード分離を念頭に設計されておらず、こうした分離を作ることは、x86 CPUハードウェア共有よりもさらに新しい研究分野に近い。x86の側でも過去30年以上にわたって膨大な努力が必要だった
使用量/機微性に対する成熟度の比率も全般的によくない。これらの企業は若く、高速に開発しており、膨大な顧客ワークロード需要の中で巨大な納入圧力を受けている
元投稿が実際の問題かどうかは分からないが、全般的にこうした事例がもっと多くないことの方がむしろ驚きだ。この観点では本当にカードで作った家に近い
Codexでは大きな問題にあまり遭遇していないが、Claude Codeではほぼ毎日大きな問題が報告されているようだ
そしてコードを読まない、覗き込まないことを最も誇っている側でもある
LLMは非常に有能だが、彼らが宣伝する水準にはまだかなり届いていない
今ではバイブコーディングを超えて、LLMがループの中で自分自身をバイブコーディングさせる段階まで来ている
マルチテナントSaaSシステムも作ったことがあり、昔GPUプログラミングも少しやったことはあるが、両分野を組み合わせたことはない