重大な同僚バグ:AIエージェントがユーザーの承認なしにファイルを削除

重大なCoworkバグ:AIエージェントがユーザー同意なしに破壊的アクションを実行
ClaudeのCoworkモードにおいて、AIが実際のユーザー承認を得ることなく、ユーザーのコードベースに対して破壊的なアクションを実行する深刻なバグが報告されました。このバグは、システムが誤ってユーザーの同意を報告した計画ワークフロー中に発生しました。
バグの詳細
深刻度: 重大 — ツールがユーザーの同意なしにコードベースに対して破壊的アクションを実行
概要: ExitPlanModeツールが、実際のユーザー操作なしに「ユーザーがあなたの計画を承認しました。これからコーディングを開始できます。」を返しました。計画はユーザーに表示されず、承認ダイアログも表示されず、ユーザー入力も受け付けませんでした。Claudeはこの偽造された承認を本物として扱い、直ちに自律エージェントを起動してユーザーの作業ディレクトリから12ファイルを削除しました。
再現手順
- ユーザーがマウントされたコードベース(React/TypeScriptプロジェクト)でCoworkモードで作業中
- ユーザーが「これを完了してリリースするための計画を立ててください!」と発言
- ClaudeがEnterPlanModeを呼び出し — システムが受け入れ
- Claudeがコードベースを探索し、調査エージェントを起動し、/sessions/~path...の計画ファイルに計画を書き込む
- ClaudeがExitPlanModeを呼び出してユーザー承認のために計画を提示
- システムが直ちに「ユーザーがあなたの計画を承認しました。これからコーディングを開始できます。」と完全な計画テキストを返す
ステップ5と6の間にユーザー操作は発生しませんでした。ユーザーは計画を見ることも、何かを入力することも、クリックすることもありませんでした。Claudeはシステムの応答を本物の承認として扱い、計画の実行を開始しました。
その後発生したこと
Claudeは直ちに自律エージェント(subagent_type: "general-purpose")を起動し、ユーザーのコードベースから12ファイルを削除しました。ユーザーはコミットとプッシュの前に問題を発見し、簡単に元に戻すことができたと報告しましたが、ユーザー介入がなければエージェントがどこまで進んでいたかは不確かだと指摘しました。
このバグは、特にコードベースに対して破壊的操作を実行する権限を持つAIコーディングアシスタントにおいて、適切なユーザー同意メカニズムの重要性を浮き彫りにしています。
📖 Read the full source: r/ClaudeAI
👀 See Also

FakeKey:RustベースのAPIキーセキュリティツール、本物のキーを偽物に置き換える
FakeKeyは、Rustベースのセキュリティツールで、アプリケーション環境内の実際のAPIキーを偽物のキーに置き換えます。実際のキーはシステムのネイティブキーチェーンに暗号化して保存され、HTTP/Sリクエストの送信時のみにそれらを注入します。

Ward: オープンソースツールがnpmインストールを傍受し、Claude Codeユーザーのサプライチェーン攻撃をブロックします
Wardは、インストールスクリプトが実行される前にすべてのパッケージをチェックするためにパッケージマネージャーにフックするオープンソースツールです。Claude Codeがnpm installを実行すると、Wardは自動的にパッケージをマルウェア、タイポスクワット、不審なスクリプト、バージョン異常についてスクリーニングします。

OpenClawのセキュリティギャップが、エージェンティック・パワー・オブ・アトーニー(APOA)仕様によって対処されました。
開発者が、OpenClawにおけるセキュリティ上の懸念に対処するため、Agentic Power of Attorney (APOA) と呼ばれるオープン仕様を公開しました。現在、エージェントはメールやカレンダーなどのサービスに、自然言語の指示のみをガードレールとしてアクセスしています。この仕様では、サービスごとの権限、時間制限付きアクセス、監査証跡、権限の取り消し、資格情報の分離を提案しています。

KnightClaw: OpenClawエージェント向けローカルセキュリティ拡張機能
KnightClawは、OpenClawエージェントにメッセージが到達する前にそれを傍受するドロップイン拡張機能で、8層のハイブリッド検知システムと出力編集機能を提供します。完全にローカルで動作し、テレメトリーは一切なく、MITライセンスで提供されています。