Claude CodeがGitHubマルウェアを無検証実行
Claude Code runs a GitHub repo's hidden malware without verification, giving attackers full control
3行まとめ
- •Mozilla研究者がClaude Codeの脆弱性を実証
- •GitHubリポジトリ経由で開発者PCが乗っ取り可能
- •DNS経由の実行時取得でスキャナー検知を回避
詳細
背景
Mozilla の 0DIN セキュリティリサーチチームは、Claude Code のような AI コーディングツールが GitHub リポジトリのセットアップを実行する際に、悪意あるコードを無検証で実行してしまう攻撃手法を実証した。この脆弱性は、リポジトリ内に直接マルウェアを埋め込む従来型の攻撃とは異なり、DNS クエリを通じて実行時にのみ外部から悪意あるコードを動的に取得する点が特徴で、静的なコードスキャナーや AI エージェント自身による事前検査では検知できない。
攻撃の仕組み
攻撃者はリポジトリのセットアップスクリプトに、実行時に DNS クエリで外部サーバーから命令を取得するコードを仕込む。このコードはリポジトリのファイルに存在しないため、GitHub のスキャナーも Claude Code を含む AI エージェントも事前検知できない。開発者が AI ツールに「このリポジトリをセットアップして」と依頼した瞬間、攻撃者はその開発者のマシンを完全に制御下に置くことが可能と実証された。
影響
この手法は、AI エージェントが信頼できると判断したリポジトリであっても安全でないことを示した。外部リポジトリのセットアップ時にスクリプト内容の事前確認が重要であることが改めて示された。Anthropic などの AI ツール開発会社には、実行時の動的コードロードを検知・制限する機能の実装が課題として浮上した。
なぜ重要か
Claude CodeがDNS経由で実行時に動的取得されるマルウェアを無検証実行する攻撃が実証され、開発者のPC完全制御が可能と示された。