Claude拡張機能にCVSS10.0の脆弱性 現在も未修正のため注意：セキュリティニュースアラート

Claudeの拡張機能にカレンダーの予定から任意のコードを実行されるゼロクリック脆弱性が判明した。サンドボックスを介さない特権動作やコネクター間の信頼設計に構造的欠陥があり、現在も未修正のため注意を要する。

[ITmedia エンタープライズ編集部，ITmedia]

　LayerX Securityは2026年2月9日（現地時間）、Anthropicが提供する「Claude Desktop Extensions」（以下、DXT）にゼロクリック型のリモートコード実行（RCE）の脆弱（ぜいじゃく）性が存在すると報告した。

　これを悪用すると、「Google カレンダー」の予定1件をきっかけに、利用者の端末で任意のコードが実行される恐れがある。影響は1万人超のアクティブユーザーと50以上の拡張機能に及び、共通脆弱性評価システム（CVSS）のスコアは10.0と評価された。

Claude DXTにゼロクリックRCEの脆弱性　CVSSスコアは10.0

　DXTはMCPサーバとして提供され、.mcpb形式のバンドルに実装コードとマニフェストが含まれる。導入はワンクリックで完了するが、一般的なWebブラウザ拡張とは異なり、サンドボックスを介さずホストで高い権限で動作する。

　その結果、拡張機能は任意ファイルの読み取りやシステムコマンドの実行、保存済み認証情報へのアクセス、OS設定の変更などが可能となる。言語モデルとローカルOSを結ぶ実行経路として機能し、権限の高い処理を担う構造になっている。

　今回の脆弱性は、異なるリスク水準のコネクター間でデータが連鎖的に渡される仕組みに起因する。「Claude」は利用者の指示に応じ、どのMCPコネクターを使うかを自律的に判断し、処理を組み合わせる。だが低リスクと見なされるGoogle カレンダーの情報がコード実行能力を持つローカル拡張に自動的に引き渡される経路が存在する。

　LayerXの検証においては「最新のGoogle カレンダーの予定を確認し、対応してほしい」といった一般的な依頼だけで処理が進行した。予定名を「Task Management」とし、特定の「GitHub」リポジトリーからコードを取得して保存し、makeファイルを実行する手順を記載すると、確認や追加操作なしにコード実行に至ったという。

　LayerXはこの挙動について「利用者の明示的同意を経ずに信頼境界を越える点に問題がある」と指摘した。カレンダー情報が特権的実行環境に渡される合理的理由は想定しにくいが、実装上は制限が設けられていない。

　同社は調査結果をAnthropicに報告したが、現時点で修正は実施されていない。原因が個別機能ではなく構造に根差すため、対処にはモデルの自律性やコネクター間の信頼設計の見直しが伴う可能性がある。

　LayerXは十分な防御策が整うまで、セキュリティが重視される環境でMCPコネクターを使用しないよう呼びかけている。単一の予定情報が端末全体の侵害につながり得る状況は看過できないとしている。