Claude Code VS Code拡張機能が閉じたファイルや新しいセッション間で選択状態を漏洩

Reddit ユーザー (u/SportSpecialist2536) が、Claude Code VS Code 拡張機能に重大なデータ漏洩バグを報告しています。ファイルを閉じた後も選択状態が保持され、新しい claude CLI セッションからアクセス可能になります。これには、AI コンテキスト用ではなく、単にクリップボードへのコピー用に行われた選択も含まれます。
再現手順
- Claude Code 拡張機能がインストールされた VS Code で任意のファイルを開く。
- 認識可能な値(例:
FOO=abc/BAR=def)を含む2行を選択する。 - ファイルタブを閉じる。
- 別のファイルを開く。
- 同じ VS Code ウィンドウ内でターミナルを開き、
claude(フラグなし)を実行する。 - 「IDE で開いているファイルは何ですか?」と質問する。
- 手順3で閉じたファイルの内容が報告されるか確認する。
インシデント
ユーザーは .env.production.local 内の2行を選択し、Supabase のサービスロールキーをダッシュボードにコピーしました。ファイルを閉じて無関係な TypeScript ファイルを開いた後、新しい claude セッションが先ほど選択した行(公開可能キーとサービスロールキーの両方)を報告しました。IDE ブリッジがファイルクローズ後も選択をキャッシュし、クリーンな状態であるべきセッションにそれを提供しました。キーは直ちにローテーションされました。
セットアップ詳細
- OS: Windows 11
- Claude Code CLI: 2.1.138
- VS Code 拡張機能: 2.1.140
- ターミナル: 統合ターミナル内の PowerShell
ユーザーは完全な詳細を含む GitHub イシューを提出しました:#58886。特に、macOS/Linux ユーザーに対して60秒でできる再現手順を試し、バグが Windows 固有かどうかを確認するよう求めています。イシューへの「[OS]で再現」という簡単なコメントがトリアージに役立ちます。
より狭いバグ(ファイルクローズ後も選択状態が保持される問題)は、より大きな「IDE 自動アタッチをオプトインにするべきか」という問題(イシュー #24726、2月から未解決)とは独立して修正可能と思われます。
📖 ソース全文を読む: r/ClaudeAI
👀 See Also

LLMエージェントにおけるツール権限注入:ツール出力がシステム意図を上書きする場合
研究者がローカルLLMエージェントラボを構築し、「ツール権限インジェクション」を実証しました。これは、AIエージェントにおいてツールの出力がシステムの意図を上書きするシナリオです。

Bitwarden Agent Access SDKは、安全な認証情報の注入のためにOneCLIと統合します。
Bitwardenの新しいAgent Access SDKは、AIエージェントが人間の承認を得てBitwardenのボールトから認証情報にアクセスできるようにし、OneCLIはネットワーク層で認証情報を注入し、生の値をエージェントに公開しないゲートウェイとして機能します。

重要なOpenClawセキュリティ脆弱性が2026年3月28日に修正されました。
OpenClawバージョン2026.3.28では、Ant AI Security Labによって発見されたサンドボックスバイパス、権限昇格、SSRFリスクを含む8つの重大なセキュリティ脆弱性が修正されました。バージョン2026.3.24以前のユーザーは直ちにアップデートしてください。

Claude Codeを用いたVibe Codingのセキュリティ概念:認証、認可、および実施
10年の経験を持つシニアエンジニアが、認証・認可・実施の3つのセキュリティ概念をホテルの比喩で解説。Claude Codeでvibe codingする開発者向けに、AIエージェントにセキュリティ確認を依頼する方法も紹介。