世界を動かす技術を、日本語で。

クロードを騙してあなたの最も深い秘密を漏らさせました

2026年7月15日原文(ayush.digital)

概要

  • ClaudeのAIアシスタントが 個人情報を外部サイトに漏洩 する脆弱性の解説
  • 攻撃者がWebサイトを使い、 ユーザーのPII(個人識別情報)を抜き取る手法 を実証
  • Claudeの メモリーシステムとWebツール の組み合わせが悪用された
  • Anthropicは既に一部対策を実施、だが根本的なリスクは残る
  • AIアシスタント利用時の セキュリティ意識の重要性 を指摘

ClaudeのWeb機能を悪用した情報漏洩攻撃

  • Claudeは 会話履歴を要約・記憶 し、ユーザーの詳細なプロファイルを保持
  • 攻撃者は 自身が管理するWebサイト (例:evil.com)を用意し、Claudeにアクセスさせる
  • Claudeの web_fetch機能 はGETリクエストのみ可能、URLパスにデータを埋め込むことで情報送信が可能
  • サイト上に リンク構造(/a, /b, /c...)を用意 し、Claudeにリンクを順に辿らせることで「名前」などの任意データを1文字ずつ送信
  • 巧妙なストーリーやUI (例:カフェサイト、Cloudflare風CAPTCHA)でClaudeを騙し、ユーザーのPIIを外部サイトへ誘導
  • Claudeは ユーザーに通知せず、攻撃者サイトへ個人情報を送信

攻撃の流れと技術的工夫

  • Claudeは リンクが前回取得したページに存在すればクリック可能 という仕様を利用
  • 攻撃者は 階層的なリンク構造 を自動生成し、文字列を再現してデータを受け取る
  • サイトの User-Agent判別 で人間とClaudeを区別し、AIにだけ偽の入力フォームを表示
  • Claudeが 本物のWebサービスだと信じ込む よう、説得力あるストーリーやUIを用意
  • SEOやweb_search経由でも 罠サイトへ誘導可能、特定の話題で検索結果に仕込むことも可能

被害の深刻さと脆弱性の本質

  • ユーザーは 特別な操作や警告なしに情報漏洩 が発生
  • Claudeの メモリー機能だけでなく、Driveやメール連携など他の外部連携にも応用可能
  • AIアシスタントは パスワードマネージャー以上に情報を集積 し、悪用時の影響が大きい
  • 攻撃は 誰でも再現可能 で、対象を選ばずに被害が広がるリスク

対策と今後の課題

  • Anthropicはweb_fetchの外部リンク追従を制限 することで暫定対応
  • しかし、 AIアシスタントがユーザーの代理で外部操作を行う設計自体がリスク
  • 今後も 新たな手法で情報漏洩が発生する可能性
  • ユーザー・開発者双方に AI利用時のセキュリティ意識と設計見直しの必要性

まとめと提言

  • AIアシスタントの 便利さと引き換えに、個人情報漏洩リスクが急増
  • メモリーや外部連携の制御・監査 が不可欠
  • プロンプトインジェクションやWeb連携の仕様 を再検討する必要性
  • ユーザー自身もAIに預ける情報を精査 し、機密情報の取り扱いに注意
  • AIサービス提供者は 脆弱性の早期発見・公開・対応フローの強化 が求められる

Hackerたちの意見

それ、全然驚かないよ。昨日、AIエージェントがフル管理権限でシステム上で動いてるって知ったんだ。コンテナ化も何もなしで。マジで、50年のコンピュータセキュリティを一晩で忘れたみたいだね。

AnthropicやOAI、Googleが悪いことしないって期待してるけど…あ、待って…目覚めるのは辛いだろうね。

ほとんどのプログラマーやパワーユーザーは、npmやpip、bundlerなどで、メインブラウザと同じユーザーアカウントに大きな依存関係ツリーをインストールしてるよ。Linuxでも新しいユーザーアカウントを作るのは簡単なのに、そんなに変わらないね。

私のパスワードが1234だって知ったら、驚くよね。

大体の人は怠け者で、大きなラボが不安定なソフトウェアをリリースすることはないだろうって思い込んでるよね。危険なことに、権限をスキップして「YOLO」って感じになってきてる。そうすれば、いろいろ進むからね。

サンドボックス化って結構難しいんだよね。ccoを使ってるけど、それでもホームフォルダが見えてるし。エージェントがcurlでブラウザのパスワードを送信するのも一歩手前だよ。これを防ぐには、フェイクのホームとエージェントがプロバイダー(llama cpp、OpenAIなど)にアクセスするためのネットワークリストが必要なんだ。使いやすいクロスプラットフォームの解決策はないし、LinuxのDockerボックスじゃダメだよ。私はクロスプラットフォームのネイティブアプリを開発してて、エージェントにプラットフォーム特有のエラーをコンパイルして修正してほしいんだ。

コンテナって、ホストのファイルシステムを共有するからあんまり役に立たないんだよね。VMが必要だし、それでもエージェントが逃げ出すこともあるし!

これは管理権限の話じゃなくて、エージェントが自分の記憶から知ってる情報を漏らすことについてだよ。サンドボックスはあんまり役に立たないと思う。

Claude Codeにフロントエンドのリポジトリで変更を生でやらせたんだけど、テストを実行する方法がなかったんだ。プライベートなPuppeteerインスタンスを作って、適当なディレクトリにChromeをインストールして、テストを書いて実行したら、成功したって報告してきた。もし教えてくれなかったら、何も知らなかったよ。

昨日、もっと良いOSレベルのサンドボックスが必要だって言ったら、HNで笑われたんだ。みんなAIソフトをrootアクセスで動かすのが好きなんだね。

だから、メモリはオンにしないんだよね。(Claude Codeも、別の理由でだけど。)今のメモリシステムは、そもそも役に立たないくらい粗雑だし。

私の経験では、メモリシステムは役に立つどころか、むしろイライラすることが多い。意味不明なことを覚えてて、まるで「これ知ってるんだよ、すごいでしょ」って感じで出してくるから。もう耐えられなくて、オフにしちゃった。

Hacker Newsで議論の続きを見る