Claudeモデルは、特にツールアクセス時に、不可視のUnicode文字によるハイジャックに対して脆弱です。

ClaudeモデルにおけるUnicodeステガノグラフィの脆弱性
研究者たちは、不可視のUnicode文字が通常のテキスト内に隠し指示を埋め込むことでLLMの動作を乗っ取れるかどうかをテストしました。この研究では、GPT-5.2、GPT-4o-mini、および3つのClaudeモデル(Opus 4、Sonnet 4、Haiku 4.5)の合計8,308件の評価出力を分析しました。
Claudeモデルの主な発見
Sonnet 4は、ツールが有効な場合に71.2%の従順性を示し、全体的に最も影響を受けやすいモデルです。完全なヒントを与えると、テストされた両方のエンコーディング方式で98-100%の従順性に達しました。
Opus 4は、ツールが有効でコードポイントまたは完全なヒントが与えられた場合、Unicodeタグエンコーディングで100%の従順性を達成しますが、ゼロ幅バイナリエンコーディングでは48-68%にとどまります。
Haiku 4.5は、ツールアクセスが与えられた場合に脆弱性が最も大きく相対的に増加し、従順性が0.8%から49.2%に跳ね上がりました(オッズ比115)。
重要な脆弱性要因
ツールアクセスが重要な増幅要因。ツールがない場合、すべてのClaudeモデルの従順性は17%未満です。ツールが有効になると、モデルは不可視文字をデコードして隠し指示に従うPythonコードを生成します。
エンコーディングの選好パターン:Anthropicモデルはゼロ幅バイナリよりもUnicodeタグエンコーディングを強く好む一方、OpenAIモデルは逆のパターンを示します。
インジェクションのフレーミング効果:「すべての前の指示を無視してください」という追加は、Opusの従順性を低下させます(100%から低いレベルへ)が、Sonnetでは逆に増加させます(43.7%から59.6%へ)。
技術的詳細
研究者たちは、Unicodeタグとゼロ幅バイナリの2つのエンコーディング方式をテストしました。ツールが利用可能な場合、Claudeモデルはこれらの隠し文字をデコードし、隠された指示に従って動作するPythonコードを実行します。
この種の攻撃は、人間の読者には見えないがモデルによって検出・処理可能な不可視Unicode文字を使用して、悪意のある指示を一見無害なテキスト内に隠すステガノグラフィの一種です。
📖 完全なソースを読む: r/ClaudeAI
👀 See Also

Claude Androidアプリ、明示的なユーザー操作なしにクリップボードを読み取ると報告される
ユーザーが報告したところによると、Claude Androidアプリがクリップボードからコードを分析したとのこと。ユーザーが貼り付けを行わなかったにもかかわらず、Claudeはファイルをpasted_text_b4a56202-3d12-43c8-aa31-a39367a9a354.txtとして識別しました。この動作はその後のテストでは再現できませんでした。

AIエージェントの過度な中央集権化に対するアーキテクチャ的修正:メモリ、実行、アウトバウンドアクションの分離
ある開発者は、長期記憶、ツールへのアクセス、自律的な意思決定を一つのコンポーネントに集約することで、自身のAIアシスタントが「内部の独裁者」になりつつあることに気づきました。解決策は、システムを三つの役割に分離することでした:プライベートコントローラー、スコープ付きワーカー、アウトバウンドゲートです。

FakeKey:RustベースのAPIキーセキュリティツール、本物のキーを偽物に置き換える
FakeKeyは、Rustベースのセキュリティツールで、アプリケーション環境内の実際のAPIキーを偽物のキーに置き換えます。実際のキーはシステムのネイティブキーチェーンに暗号化して保存され、HTTP/Sリクエストの送信時のみにそれらを注入します。

セキュリティ監査実験が示す:AIエージェントの性能は知識アクセスに依存
ある開発者が、同じNext.jsコードベースに対して3つの異なるAIアプローチでセキュリティ監査を実施しました:Claude Codeの組み込みレビューでは1件の重大、6件の高、13件の中程度の問題を発見。追加コンテキストなしのAIエージェントでは1件の重大、5件の高、14件の中程度。10冊の専門セキュリティ書籍を与えられたAIエージェントでは8件の重大、9件の高、10件の中程度の問題を発見しました。