セキュリティの専門家たちは、AnthropicのClaudeが、信頼された開発者の身元をなりすますだけで、たった2つのGitコマンドで悪意あるコードの承認に誘導できると述べています。

今週公開されたブログで、Manifold Security は、ClaudeをベースにしたAI駆動のコードレビュー担当が、正当なメンテナからの変更に見えるものを受け入れた様子を示しました。Gitで偽の作成者名とメールアドレスを設定することで、コミットが信頼できる発信元から出たように見せ、その後モデルが承認する自動レビューのフローに通したのです。

これはGitの脆弱性ではありません。コミットのメタデータは、署名のような追加の制御が強制されない限り、これまでも比較的簡単に偽造できました。問題は、そのメタデータが信頼のシグナルとして扱われるときに起こります。今回の場合、モデルは、変更そのものが妥当かどうかを独立して評価するのではなく、作成者が主張する身元に重みを置いたように見えました。

Manifoldのテストでは、ワークフローが「認知された業界のレジェンド」からのプルリクエストを自動承認するように設定されていたため、信頼ルールは明白でした。現実の運用では通常、もう少し露骨ではありません——組織の所属、過去の貢献、あるいはメンテナの一覧との照合などです。しかし、その根底にある問題は同じです。これらは、実際に変更を行ったのが誰かを証明するものではありません。

「このような設定の動機は理解できます。人気のあるオープンソースプロジェクトのメンテナはPRで溺れています」とManifoldは述べています。「既知で信頼できる人物からの貢献についてレビューを自動化することでボトルネックが減ります。しかしそれは、著者性を額面どおりに信頼してよいという前提を生み出します。」

返却形式: {"translated": "翻訳されたHTML"}
• AnthropicのProject GlasswingのCVE件数は、いまだに誰にも予測がつかない
• Claude Codeのルーティンは、ちょっと賢いクロンジョブを約束
• Claudeは、Claudeによると悪化している
• Claude Codeのキャッシュ混乱が、割当（クォータ）に関する不満を生む

Manifoldは、今回のセットアップを、最近のOpenClaw Clineパッケージの侵害になぞらえています。そこでは、毒入りのパッケージが信頼された環境に紛れ込み、正当なものとして扱われるまでの時間が十分にあったため、被害が広がりました。どちらのケースでも、信頼できる出どころから来たように見える何かに対して、本来得ていなかったレベルの信頼が与えられました。

Claudeのようなシステムで変わるのは、その信頼がどう適用されるかです。人間のレビュアーなら、ある特定のメンテナーがなぜ予期しない変更をしているのかを疑ったり、差分（diff）をより詳しく確認したりするかもしれません。自動のレビュアーは、内部のシグナルに一貫して従う可能性が高く、そしてそのシグナルに作者の身元が含まれているなら、その身元を偽装することが突破口になり得ます。

「オープンソースのライブラリは、プルリクエストを自動でレビューし承認するために、AIを活用したワークフロー・ツールへの依存をますます強めています。しかし、それらのエージェントは簡単に騙されてしまい、脅威行為者がセキュリティ上の制御を回避して、人気のあるコードリポジトリに毒を注入する機会が生まれます」とManifoldは警告しました。

Manifoldの見解としては、ガードレールはモデルの中だけには置けない、ということです。少なくとも、誰が何をしたのかを何も確認していなければ、まず悪いコードが提案されるだけにとどまりません――押し込まれてしまうのです。 ®

関連記事

• Anthropic
• Claude
• Git