@Claude「アンビエント」モードで動作し、会話を継続的に追跡し、チャンネルのコンテキストを学習し、積極的に割り込んでアップデートを通知したりタスクを表面化したりします。その権限は個々のユーザーではなく、エージェントが存在するチャンネルにスコープされており、管理者はチャンネルごとに異なるツールセット、データアクセス、支出制限を設定できます
。
内部的には、各Claude Tagセッションは、Anthropicが管理するLinuxマイクロVM内でOpus 4.8モデル上で動作し、コネクタの認証情報はVM外部に保持され、ネットワークアクセスはプロキシ経由、ツールは読み取り専用で分離されています。チャンネルの使用料金はシート単位ではなくAPIレートで組織に請求され、従来のエンタープライズソフトウェアの価格モデルを逆転させています
。
Tego AIの発見は独立したものではありません。2026年半ばの他の2つの主要インシデントと複合的に重なり、エンタープライズAIエージェントセキュリティの危機を浮き彫りにしています。
2026年6月30日、独立系研究者**「Thereallo」がClaude Codeをリバースエンジニアリングし、難読化されたJavaScriptを発見しました。これは、ユーザーの地理的位置を(タイムゾーンチェック経由で)静かにフィンガープリンティング**し、特定のUnicode文字(例えば、ストレートアポストロフィの代わりにカールしたアポストロフィ、ダッシュの代わりにスラッシュ)を使用してシステムプロンプトを変更し、Anthropicのバックエンドで検出可能なステルストラッキングマークを作成するものでした。中国の国家脆弱性データベース(NVDB)は7月8日、Claude Codeバージョン2.1.91から2.1.196を対象に正式な「バックドア」セキュリティアラートを発行しました
。アリババは社内でClaude Codeを禁止しました
。Anthropicはこれを「不正利用対策の実験」と呼び、7月1日に削除しました
。
Claude Tagや他の多くのAIエージェントを支えるModel Context Protocol(MCP)インフラには、システム的な設計上の欠陥が存在することが判明しています。2026年の主な発見事項:
exec()またはシェルインジェクションに関連、13%がパストラバーサルClaude Tagおよび同様のエージェンティックAIツールを導入する企業は、三重の脅威に直面しています。それは、エージェントトリガーレイヤーでのプロンプトインジェクション攻撃面(Tego AIの発見)、エージェントツールにおける不透明なベンダー側トラッキング(Claude Codeトラッカー)、そしてエージェントをツールやデータに接続するMCPエコシステムの根本的に安全でないインフラデフォルトです。
アイデンティティとアクセス制御の失敗は、Claude Tagのような永続的エージェントが広範なツールアクセスを持ち、偽装されたメンションによってトリガーされる可能性がある場合、急速に連鎖します。従来のAPIガバナンスはエージェンティックワークフローには不十分です。なぜなら、エージェントはユーザーごとの権限モデルやリクエスト・レスポンスパターンに従わないからです
。サプライチェーンリスクは計り知れません。MCPリファレンス実装の脆弱性は、すべてのダウンストリームデプロイメントに波及します
。透明性と監査可能性は依然として重要な問題です。Claude Codeトラッカーは縮小されたJavaScriptに難読化され、外部のリバースエンジニアリングによってのみ発見されました。つまり、エンタープライズセキュリティチームはベンダーの自己開示に頼ることはできません
。
規制のエスカレーションはすでに進行中であり、中国のNVDBが国家レベルの警告を発し、アリババのような企業が全面的な禁止措置を取っています。総合的に見ると、2026年のエンタープライズAIエージェントセキュリティには、永続的エージェントを重要なインフラと見なし、厳格なアイデンティティ、アクセス、サプライチェーン管理を適用する、根本的に新しいアプローチが必要であることを示しています。