Claude Code --dangerously-skip-permissionsの脆弱性とオープンソース防御ツール

--dangerously-skip-permissionsフラグ使用時のClaude Codeのセキュリティ脆弱性

Claude Codeで--dangerously-skip-permissionsフラグを使用する場合、文書化された間接的なプロンプトインジェクション脆弱性が存在します。核心的な問題は、Claudeが信頼されていないコンテンツを信頼された権限で処理し、ユーザーの指示とそのコンテンツに埋め込まれた悪意のある指示を確実に区別できないことです。

Lasso Securityが文書化した攻撃ベクトル

• クローンされたリポジトリのREADMEやコードコメントに隠された指示
• Claudeが調査のために取得するウェブページ内の悪意のあるコンテンツ
• MCPコネクタ（Notion、GitHub、Slackなど）を介して送信される編集済みページ
• Base64、ホモグリフ、ゼロ幅文字でエンコードされたペイロード

このフラグは、通常は疑わしい活動を捕捉する人間のチェックポイントを除去し、Claudeがファイルを読み取る、ページを取得する、またはMCPサーバーから出力を受け取る際に重大な攻撃対象領域を作り出します。

オープンソースの防御ツール

Lasso Securityは、Claudeが処理する前にツール出力を50以上の検出パターンでスキャンするPostToolUseフックをリリースしました。このツールは誤検出を避け、コンテキストを維持するために、ブロックではなく警告を行います。セットアップには約5分かかり、PythonとTypeScriptの両方で動作します。

このツールはclaude-hooksとしてGitHubで利用可能であり、脆弱性に関するLassoのブログ記事で詳しく説明されています。