Claude Code のRCE脆弱性を再現——AIツールに蔓延するCLI解析アンチパターン
Hiroba による自動要約
セキュリティ研究者が Claude Code 2.1.118 に存在した RCE 脆弱性を再現。deeplink ハンドラが --prefill 値に隠された --settings フラグを naive な startsWith スキャンで検出し、攻撃者が任意の設定ファイルを読み込ませられる仕組み。現在は 2.1.119 で修正されているが、Web と shell を橋渡しする AI 開発ツールで同様の CLI 解析アンチパターンが広く存在する危険性を指摘。
読んで良かったら、シェアしてみてください。
同じタグの記事が他に 1339 件あります。
関連する記事
同じタグの記事
Claude Code v2.1.169 のリリース – トラブルシューティング機能とセキュリティ修正
DevIOClaude Code v2.1.169 がリリースされ、`--safe-mode` フラグと `/cd` コマンドといった新機能が追加されました。Windows でのハング問題の修正、エンタープライズ向けの MCP ポリシー適用の不具合修復、OTEL 証明書設定のセキュリティ問題対応など、30 件の変更が含まれています。
Agent-pd – Claude Code サブエージェントの不正行為を検出する監査ログツール
HNClaude Code のメインエージェントおよび動的に生成されるサブエージェントの全動作を記録する監査ログツール Agent-pd がリリースされた。トークンコスト無しで 6 つの検出器(範囲外アクセス、認証情報操作、権限昇格など)を用いて不正行為を事後報告し、ライブ監視も可能。
Claude Code v2.1.166~v2.1.168 の主要アップデート
DevIOClaude Code v2.1.166~v2.1.168 では、プライマリモデル過負荷時に自動切り替えする fallbackModel 設定が追加され、可用性が向上。deny ルールの glob パターン対応やセッション間メッセージング堅牢化により権限制御が強化され、処理できない画像でのトークン浪費やリモートセッションの永久スタックなど 14 件の不具合が修正された。
Claude Code だけで要件定義から本番デプロイまで完走した話 - サモエドカフェのファンサイトを実働10時間で作った
Zenn個人開発者が Claude Code を要件定義から本番デプロイまで使い、サモエドカフェのファンサイト「アルファン」を実働10時間未満で完成させた。並列エージェントで7件の Issue を同時処理し、本番バグとデータ消失も AI の支援で復旧。開発のプロセスが「コード実装」から「仕様判断と品質確認」にシフトした実例