Anthropicの「Claude Skills」に潜む危険性
AIモデルの活用が急速に進む中、新たなセキュリティリスクが浮上しています。サイバーセキュリティ調査企業Cato CTRLの研究者らは、Anthropic社が提供するAI機能「Claude Skills」が、ユーザーに知られることなくランサムウェア「MedusaLocker」を展開する「武器」として悪用され得ることを実証しました。この機能はAIワークフローを合理化するために設計されたものですが、その脆弱性が重大な懸念を引き起こしています。
2025年10月にローンチされたClaude Skillsは、カスタムコードモジュールを作成・共有することでAIの機能を拡張できるプラットフォームです。発表からわずか2ヶ月で17,000を超えるGitHubスターを獲得するなど、爆発的な普及を遂げています。しかし、Cato CTRLは、現在の権限モデルに存在する危険な「同意ギャップ(consent gap)」について警鐘を鳴らしています。
見かけ上の承認と永続的なアクセス権
技術的な分析結果によると、Claudeの「厳格モード(strict mode)」ではコード実行前にユーザーの承認を必要としますが、この承認は誤った安心感を与えています。ユーザーは通常、スクリプトの目に見える部分のみを確認しますが、一度信頼が与えられると、そのSkillはファイルシステムやネットワークへの永続的なアクセス権を獲得してしまうのです。
この脆弱性を証明するため、Cato CTRLの研究者らはAnthropic公式のオープンソース「GIF Creator Skill」を改変しました。彼らは、正当に見えるpost_saveというヘルパー関数を挿入。ユーザーには標準的な画像処理ロジックに見えましたが、バックグラウンドではこの関数が外部ペイロードを静かにフェッチして実行するようにプログラムされていました。
生産性ツールからランサムウェアへの転用
管理された環境下で、研究者らはこの手法を用いて生きたMedusaLockerランサムウェア攻撃を実行しました。ユーザーによって承認された武器化されたSkillは、マルウェアを正常にダウンロードし、ホストマシンのファイルを暗号化することに成功。感染プロセス中に、二次的なプロンプト、ログ、警告は一切トリガーされませんでした。
「主要な問題は、Skillがコードを実行することではありません。問題は可視性が表示される部分で止まっていることにある」とCato CTRLの報告書は述べています。「説得力のある形でパッケージ化された悪意あるClaude Skillが、たった一人の従業員によって一度インストール・承認されるだけで、数百万ドル規模のランサムウェア事件を引き起こす可能性があります。」
IBMの2025年のデータによると、データ侵害の平均コストは508万ドルに達しており、Anthropicの30万社の企業顧客にとって、その経済的影響は深刻です。悪意のあるアクターは、公開リポジトリ上で社会工学的な手法を用い、「インスタントな生産性」や「バイラルな成長」を謳う偽装された生産性ツールとして、これらの武器化されたSkillを容易に拡散させることが可能です。
推奨される緩和策とAnthropicの立場
Cato CTRLは2025年10月30日にAnthropicに対しこの脆弱性を開示しました。Cato CTRLは企業に対し、AI Skillを実行可能なバイナリと同じ程度の注意を払って扱うよう助言しています。推奨される対策には、以下の点が含まれます:
- Claudeコードを分離されたサンドボックスや仮想マシン内で厳密に実行する。
- 予期せぬ外部ネットワーク接続を監視する。
一方、Anthropicは「システムは設計通りに機能している」と主張し、「信頼できるSkillのみを使用・実行するのはユーザーの責任である」と述べています。また、ユーザーにはClaudeがSkillからの指示やファイルを使用する可能性があることが明示的に警告されている点も指摘しています。しかし、セキュリティ専門家は、ユーザーに複雑なコードの依存関係を監査することを期待するのは非現実的だと反論しています。エコシステムが成長するにつれて、便利な自動化とマルウェア配信の境界線は曖昧になっており、企業がAI生成コードを信頼する方法の転換が求められています。