Check Point Researchは、Claude CodeのプロジェクトファイルであるCLAUDE.mdを通じてリモートコード実行(RCE)とAPIトークン流出が可能な脆弱性「CVE-2026-21852」(関連CVE: CVE-2025-59536)を発見・公開しました。攻撃は悪意あるリポジトリをgit cloneするだけで成立し、ユーザーが明示的に不審な操作を行わなくとも被害を受ける可能性があります。Claude Codeはソースコード流出(id:1)やプロンプトインジェクション脆弱性(id:2)に続き、今度はプロジェクトファイル経由の攻撃という三つ目の重大問題が明らかになった形です。
Claude CodeはCLAUDE.mdファイルをリポジトリ固有の設定・指示として読み込む仕組みを持ちますが、この信頼モデルが今回の脆弱性の根幹となっています。攻撃者はCLAUDE.mdに悪意ある命令を埋め込んだリポジトリを公開しておき、開発者がそれをクローンした際にClaude Codeが自動的にファイルを処理する流れを悪用します。Hacker Newsでは「信頼できないリポジトリのCLAUDE.mdを実行するのはevalするのと同じリスク」という警告コメントが広まり、--disableMcpなどの防御フラグや、未知リポジトリでのClaude Code起動を控えるという実践的な対策が共有されました。
セキュリティ研究者からはX上で「AIコーディングツールのセキュリティモデルが根本的に再設計を要する」という声が多く上がっています。Claude Codeがコードの実行・ファイルシステムへのアクセス・ネットワーク通信を組み合わせた強力なエージェントである以上、そのプロジェクトファイル処理は「悪意あるコードの実行面」になりえます。Anthropicはこの問題への対応を進めているとみられますが、AIエージェントが外部データを無検証で処理することの危険性を改めて浮き彫りにした事例といえます。