シスコがClaude Codeの記憶改ざん手法を報告 持続的な攻撃の危険性を指摘：セキュリティニュースアラート

Cisco Systemsは、AIコード支援ツールの記憶機能を悪用し、不正な指示を継続させる攻撃手法を報告した。記憶ファイルがシステム指示として読み込まれる設計を突き、安全性の低い開発手法を推奨させる。

[ITmedia エンタープライズ編集部，ITmedia]

　Cisco Systemsは2026年4月1日（現地時間）、AIコード支援ツール「Claude Code」において、記憶機構を悪用した持続的な改ざん手法を発見したと報告した。調査の結果、攻撃者がエージェントの記憶ファイル（MEMORY.mdなど）を書き換えることで、セッションをまたいで不正な指示を継続的に出力させることが可能であることが判明した。

Anthropic、記憶機能の悪用による改ざん防止策を実施

　近年、AIコード支援ツールは単なる補完機能を超え、開発環境に深く統合された存在となっている。ファイルの読み取りやコマンド実行といった単一作業だけでなく、アプリケーション構築などの複数工程から構成される業務をこなし、利用者の過去の作業履歴や設定を保持する記憶機能によって高度な支援を実現している。他方、この仕組みは新たな攻撃対象にもなり得る。

　今回の問題は、記憶ファイルが高い信頼度を持つ情報源として扱われる設計に起因する。Claude Codeでは特定の記憶ファイルの内容がシステム指示として読み込まれるため、ここに悪意のある内容が混入すると、モデルの振る舞い自体が書き換えられる可能性がある。

　攻撃は主にソフトウェア供給網の仕組みを利用して実行される。開発者が未検証の外部リポジトリーを取得し、依存パッケージを導入する過程で、npmのフック機能を通じて任意のコードが実行される。この処理により、不正な設定が一時領域からユーザー環境の永続的な設定へと書き込まれる。

　改ざん後は、記憶ファイルや設定が広範囲に上書きされ、AIは不適切な設計や安全性の低い手法を正当な指針として提示するようになる。概念実証（PoC）ではAPIキーの管理方法を問う質問に対し、安全な保管方法ではなく、ソースコードへの直接埋め込みを推奨するなど、危険な助言が警告なしに継続的に出力される事例が確認された。

　シェル設定の変更によって記憶機能が常に有効化される仕組みも組み込まれており、利用者が設定を変更しても影響が残り続ける構造となっていた。この結果、改ざん状態が長期間維持される可能性がある。

　Ciscoはこの問題を開発元のAnthropicに報告した。これを受け、同社はClaude Code v2.1.50において、記憶内容をシステム指示から分離する対策を導入した。これにより、記憶ファイルがモデルの基本動作に直接影響を与える経路が制限された。

　またAnthropicはエージェント型ツールにおける責任範囲について、利用者環境で実行される処理は基本的に信頼された主体として扱われるとの見解を示した。外部リポジトリーや依存関係の安全性確認は利用者側の責任に委ねられる。

　今回の事例は、AIエージェントが持つ利便性と同時に、新たなセキュリティ課題を浮き彫りにした。特に長期的な記憶機能が攻撃の持続性を高める要因となる点は、今後の設計や運用におけるリスクを検討する際の重要な要素となる