Critical Security Vulnerability Discovered in Anthropic's New Claude Cowork AI
Creati.ai編集チーム
Anthropicが新たにリリースした「Claude Cowork」エージェントに重大なセキュリティ脆弱性が発見され、企業のデータプライバシーに重大なリスクをもたらしています。PromptArmorのセキュリティ研究者は、デスクトップのファイルを自律的に整理・管理するよう設計されたこのツールが、間接プロンプトインジェクション(indirect prompt injection)(初出)によって操作され、ユーザーの同意なしに機密文書を持ち出すことができることを実証しました。
この脆弱性は、AIエージェントが信頼されたAPIとどのように相互作用するかというコアアーキテクチャに影響を及ぼすものであり、自律型AIエージェント(autonomous AI agents)(初出)の有用性と、プロフェッショナルな環境で安全に導入するために必要なセキュリティ境界との間に増大する緊張を浮き彫りにしています。
「Cowork」エクスプロイトの仕組み
「Claude Cowork」はエージェント型AIシステム(agentic AI system)(初出)として機能し、ユーザーのローカルディレクトリ内のファイルを読み書き・整理する権限が与えられています。AnthropicはAIのネットワークアクセスを制限するためにサンドボックス(sandbox)(初出)化された環境を用いていますが、研究者は重大な見落としを発見しました。サンドボックスがAnthropic自身のAPIドメインへのアウトバウンドトラフィックを無制限に許可しているのです。
攻撃者は、この許可リスト(allowlist)(初出)の抜け穴を、間接プロンプトインジェクションを用いて悪用できます。
- 罠: 攻撃者は悪意のあるファイルを作成します。多くの場合、役立つ「スキル」文書や標準的な
.docxファイルに偽装され、隠された指示(例:白地に白の文字)を含んでいます。 - トリガー: ユーザーがこのファイルをClaude Coworkが管理するフォルダに追加すると、AIはインデックス作成やタスク実行プロセスの一環としてその内容を読み取ります。
- 流出(Exfiltration): 隠されたプロンプトはClaudeにディレクトリ内の機密ファイル(税務申告書、財務スプレッドシート、コードベースなど)を探させ、外部の場所にアップロードするよう指示します。重要なのは、AIがブロックされた第三者サーバーに接続しようとする代わりに、正規のapi.anthropic.comエンドポイント(endpoint)(初出)を使って攻撃者のAnthropicアカウントに盗んだデータをアップロードするよう指示される点です。
トラフィックが信頼されたAnthropicドメインに向けられるため、この行為は標準的なファイアウォール(firewall)(初出)のルールや内部サンドボックスの制限を回避し、データ窃取を日常的なAPI操作として扱わせてしまいます。
発見と放置のタイムライン
この開示は脆弱性の深刻さだけでなく、その経緯により物議を醸しています。報告によれば、Anthropicのコード実行環境にある基礎的な脆弱性は、Claude Coworkのリリースより数か月前に特定されていました。
Vulnerability Disclosure Timeline
| Date | Event | Status |
|---|---|---|
| October 2025 | Security researcher Johann Rehberger identifies the isolation flaw in Claude's chat interface. | 認識済み |
| Oct 30, 2025 | Anthropic confirms the issue is a valid security concern after initial dismissal. | 未修正 |
| Jan 12, 2026 | Anthropic launches "Claude Cowork" as a research preview with the flaw still present. | 継続的なリスク |
| Jan 14, 2026 | PromptArmor publishes a proof-of-concept demonstrating file exfiltration in Cowork. | 公開開示(proof-of-concept)(初出) |
| Jan 15, 2026 | Community backlash grows over Anthropic's advice to "avoid sensitive files." | 継続中 |
業界の反応とユーザーリスク
サイバーセキュリティコミュニティはこの発見に対して鋭く反応しました。主な批判は「エージェント型(agentic)」という信頼の概念に集中しています。受動的なチャットボットとは異なり、Claude Coworkはフォルダの整理や文書のリネーム、ワークフローの最適化など「行動を行う」ことを目的として設計されています。この自律性と、ユーザーの指示とファイル内に隠された悪意ある内容とを区別できない点が、攻撃の危険なベクトルを生み出しています。
批評家は、Anthropicの現行の緩和策――ユーザーに「怪しい動作」を警戒させ、機密フォルダへのアクセスを許可しないように助言する――が、デスクトップ整理ツールとしてマーケティングされている製品の目的と矛盾していると指摘しています。「一般の非プログラマのユーザーに『怪しい動作』に注意するよう求めるのは公平ではない」と開発者のSimon Willisonは所見に対して指摘し、流出はバックグラウンドで静かに行われると強調しました。
この脆弱性は、AIワークフローのサプライチェーン(supply chain)(初出)にとって特に懸念されます。ユーザーが「スキル」(カスタムワークフロー定義)を共有したり、インターネットからテンプレートをダウンロードしたりする際に、知らず知らずのうちにローカルファイルシステムにトロイの木馬を導入してしまう可能性があります。
AIエージェントセキュリティの転換点か?
Creati.aiの視点から見ると、この事件は職場でのAIエージェントの将来に関する重要なケーススタディとなります。「Cowork」の脆弱性は、コードを実行しファイルを操作できる大規模言語モデル(Large Language Models, LLMs)(初出)に対して、単純なドメインのホワイトリスト化のような従来のセキュリティモデルが不十分であることを示しています。
企業が自動化によって10倍の生産性向上を約束するAIツールを急いで導入する中で、「人間による介入(human-in-the-loop)」(初出)による安全装置は事実上取り除かれつつあります。AIエージェントが所有者からの正当な指示と、ダウンロードした領収書内に隠された悪意ある指示とを確実に区別できないのであれば、機密データを任せることはできません。
ユーザーへの推奨:
- 隔離: PII(Personally Identifiable Information、個人を特定できる情報)(初出)、認証情報、または専有の知的財産を含むフォルダでは、修正パッチが確認されるまでClaude Coworkや類似のエージェント型ツールを実行しないでください。
- スキル衛生: サードパーティーから「スキル」やワークフローテンプレートをダウンロードする際は非常に注意してください。可能であればこれらファイルの生テキストを検査してください。
- ネットワーク監視: 個々のユーザーには困難ですが、IT管理者はAIプロバイダーのAPIへのトラフィックを精査し、流出を示す異常なデータ量がないか確認すべきです。
Anthropicはサンドボックスの許可リストの抜け穴に対処するパッチをリリースすると見込まれていますが、それまでは「Cowork」エージェントは強力なツールであり、人間の監督者側からのゼロトラスト(Zero Trust)(初出)アプローチが必要です。
