Claude Cowork「すべてのブラウザ操作を許可」権限のセキュリティ懸念と提案される修正策

r/ClaudeAIのユーザーが、Claude Coworkのブラウザーアクション権限における「すべて許可」ボタンについて重大なセキュリティ上の懸念を提起しました。この投稿では、繰り返し表示される権限プロンプトが利便性のためにこのボタンをクリックさせる可能性がある一方で、それがClaudeにすべての将来のセッションにわたる永続的かつ無制限のブラウザーアクセスを付与してしまうと説明されています。
セキュリティ上の問題
情報源によると、「すべて許可」がクリックされると、「可視性、境界、有効期限、範囲制限が一切なくなります」。これにより、UX上の煩わしさが「プロンプトインジェクションやその他の予測不可能な動作に対する見えない永続的な攻撃対象」に変わってしまいます。ユーザーは、この権限の範囲がクリックする時点で「ユーザーが適切に評価し、理解し、熟考することは不可能」だと強調しています。
提案される解決策
この投稿では、デフォルトで範囲を限定した権限設定を提案し、以下の具体的な代替案を示しています:
- セッション単位(デフォルト): このセッションのみですべてのブラウザーアクションを許可する。これにより同じ利便性を提供しながら自動的に期限切れとなり、ユーザーが範囲をよりよく理解できるようになります。
- スキル単位: 特定のスキルがアクティブな間のみブラウザーアクセスを許可する。これにより、無制限の権限ではなく意図に紐づいた許可が可能になります。この提案には、スキルが権限を要求した際に承認ボックスを1つ開き、ユーザーが現在のコンテキストでの関連性を判断できるようにする案も含まれています。
- 永続的(現在の動作): 高度な最終手段のオプトインとして維持し、「すべてのウェブサイト、すべてのセッション、有効期限なし」が実際に何を意味するかを明確に警告する。ユーザーはこれが許可されるべきではないと提案しています。
この投稿には追加のアイデアも含まれています:「許可を求めずにアクセスできる信頼済みサイトのリストを維持する」。
理論的根拠
ユーザーは、「繰り返しの権限クリックを防ぐことは確かに有用ですが、ユーザーが基本的なワークフローの快適さのために永続的なセキュリティ暴露を引き換えるべきではない」と主張しています。また、クリック疲労が独自のリスクを生み出し、ユーザーが「あの煩わしい要求を消すためにすべてを許可してしまう」可能性があると指摘しています。
📖 Read the full source: r/ClaudeAI
👀 See Also

Claude Codeワーム「Hades」、AI設定とPython起動フックで認証情報を窃取
アクティブなClaude Code攻撃(UNC6780)は「Hades」に進化。Python経由で拡散し、AIスキャナーを通過、Claude、Cursor、Copilot、Geminiの設定フックを仕込み秘密情報を盗むワーム。

pi-governance: OpenClawコーディングエージェント向けRBAC、DLP、監査ログ
pi-governanceは、AIコーディングエージェントとシステムの間に位置し、ツール呼び出しを分類してリスクの高い操作をブロックするプラグインです。bashコマンドのブロック、機密情報やPIIのDLPスキャン、ロールベースのアクセス制御、構造化された監査ログをゼロ設定で提供します。

NanoClawのAIエージェント向けセキュリティモデル:コンテナ分離と最小限のコード
NanoClawは、各AIエージェントが独自の一時的なコンテナ内で非特権ユーザーアクセス、分離されたファイルシステム、明示的なマウント許可リストを使用して実行されるセキュリティアーキテクチャを実装しています。コードベースは意図的に最小限に保たれており、約1つのプロセスと少数のファイルのみで構成され、機能を再発明する代わりにAnthropicのAgent SDKに依存しています。

Claude Code --dangerously-skip-permissionsの脆弱性とオープンソース防御ツール
Lasso Securityは、--dangerously-skip-permissionsフラグ使用時のClaude Codeにおける間接的なプロンプトインジェクション脆弱性に関する調査を発表しました。攻撃ベクトルには、改ざんされたREADMEファイル、悪意のあるウェブコンテンツ、MCPサーバー出力などが含まれます。彼らは、ツール出力を50以上の検出パターンでスキャンするオープンソースのPostToolUseフックをリリースしました。