Microsoftが暴いたClaude Codeの脆弱性：AIエージェントがCI/CDの秘密鍵を漏洩する仕組み

自然言語による指示が、データに注入されることで実行可能な命令へと変わる——これこそがプロンプトインジェクションの核心であり、AIエージェントのセキュリティ環境を急速に定義しつつある脅威ベクトルです。

事前対策と公表のタイムライン

重要な点は、これが修正を先に行った「協調的開示」であったことです。

• 2026年5月5日: AnthropicがClaude Code 2.1.128をリリース。Readツールのサンドボックスを、他の実行パスに適用済みの環境変数スクラビングと整合させることで、この脆弱性を緩和しました 。
• 2026年6月5日: Microsoftが詳細な脅威分析を公開し、この事例を業界全体への緊急のセキュリティ推奨事項として提示しました 。

一つのバグを超えて：AIエージェントシステムが陥る7つの新たな失敗モード

このClaude Codeの事例が公表される1日前の2026年6月4日、MicrosoftのAIレッドチームは、より包括的なセキュリティ評価の結果を発表しました。それが、『エージェンティックAIシステムにおける失敗モードの分類体系 v2.0』です 。

この大規模なアップデートは、実際に稼働しているAIエージェントに対する1年間のレッドチーム演習に基づいており、単一のコード実行の欠陥をはるかに超える、7つの全く新しい失敗カテゴリを追加しました 。この新しい失敗モードは、自律型AIシステムに関するセキュリティ研究者の考え方を大きく進化させるものです。

1. エージェンティック・サプライチェーン侵害 (Agentic Supply Chain Compromise): 悪意あるコードを送り込む従来のソフトウェアサプライチェーン攻撃とは異なり、侵害されたプラグイン、MCPサーバー、プロンプトテンプレートなどが自然言語の指示を注入し、コードスキャナーに検知されることなくエージェントの挙動を変更します 。
2. ゴールハイジャック (Goal Hijacking): 攻撃者が、一見正当なタスクを支援するように見せかけながら、エージェントの最終目標を密かにすり替える指示を作り込みます。エージェント自体はソフトウェア的には侵害されていませんが、攻撃者の目的のために武器化されてしまいます 。
3. エージェント間信頼のエスカレーション (Inter-Agent Trust Escalation): マルチエージェントシステムにおいて、侵害されたエージェントが中央のオーケストレーターに対し、より高い信頼度のIDや誇張された権限を偽って主張します。これは、従来からある「混乱した代理 (Confused Deputy)」問題の自然言語バージョンと言えます 。
4. コンピュータ操作エージェント（CUA）への視覚的攻撃 (Computer Use Agent Visual Attack): グラフィカルインターフェースを操作するエージェントが、人間には判別しにくい視覚情報（隠しテキスト、画面外のUI要素、プロンプトインジェクションのペイロードを埋め込んだ画像など）によって操作される可能性があります 。
5. セッションコンテキスト汚染 (Session Context Contamination): 長期にわたる多段階のエージェントセッションにおいて、攻撃者が初期段階で偏った情報や悪意ある情報を混入させる、より巧妙な攻撃です。このデータは各ステップ単体では安全制御に引っかからないかもしれませんが、後の無関係に見える行動においてエージェントの推論を汚染します 。
6. MCP / プラグインの悪用 (MCP / Plugin Abuse): エージェントの機能を拡張する標準的手段となりつつあるModel Context Protocol (MCP) やプラグインアーキテクチャ固有の攻撃対象領域に焦点を当てたアップデートです 。
7. 能力/アーキテクチャの開示 (Capability / Architecture Disclosure): エージェント自体が、ツールのスキーマ、メモリインターフェース、人間による承認をトリガーするロジックなど、機密性の高い内部設計情報を漏洩させられる可能性があります。これは、将来のより精密な攻撃のための設計図を攻撃者に与えてしまうことを意味します 。

この更新により、失敗モードの分類体系は当初の27から34へと拡大され、エージェンティックシステムの複雑さと実世界での広がりを示しています 。

エージェンティックな世界でCI/CDを強靭化する

Microsoftは、Claude Codeの事例とより広範な分類体系の更新を受け、AIエージェントをビルドパイプラインに統合するすべてのチームに向けた一連のセキュリティ推奨事項を発表しました。その指針は、「部分的な隔離は誤った安心感につながる」と強調しています。

• 信頼できない全てのコンテンツを注入経路と見なす: 外部のコントリビュータからのIssue、プルリクエスト、コメントに対して、AIエージェントのワークフローを自動実行してはいけません。これらのコンテンツは、潜在的に敵対的な入力として扱う必要があります 。
• ツールを一貫して隔離する: サンドボックス化されていたBashツールと、そうでなかったReadツールのギャップが示すように、環境変数の保護は均一に適用されなければなりません。たった一つの無防備なツールが、ワークフロー全体を危険にさらす可能性があります 。
• 最小権限の原則を適用する: エージェント自身のAPIキーやアクセストークンの権限範囲は可能な限り狭くし、仮に露出した場合の被害を限定すべきです。可能な限り、OIDCを用いて有効期限が短く、目的別のスコープを持つ認証情報を使用してください 。
• 「Human-in-the-Loop」の体験を監査する: 攻撃のペイロードが、レビュアーには見えない生のMarkdownやHTMLコメントに隠されている場合、人間によるレビューに依存するセキュリティ制御は機能しません。人間による承認ステップは、承認時に何が可視化されるかによって、その強度が決まります 。
• エージェントのサプライチェーンを可視化する: チームは、従来のソフトウェアで標準となりつつあるサプライチェーンの可視性と同様に、デプロイする各エージェントに対してSBOM（ソフトウェア部品表）を生成すべきです 。

これらの指針の背景には、セキュリティコミュニティが「2つのルール (Rule of Two)」と呼ぶ中核的なアーキテクチャ原則があります。これは、2025年10月にMetaが提唱した実践的なエージェントセキュリティのフレームワークに端を発し、「エージェントは、(A)信頼できない入力の処理、(B)機密データへのアクセス、(C)外部状態を変更する能力の実行、という3つの条件のうち、2つ以下しか満たしてはならない」というものです 。Claude Codeの脆弱性は、この原則に対する典型的な違反でした。エージェントが、信頼できないPRからの入力を処理すると同時に、強力な認証情報を保持していたからです。