クロードDXT

Claude Desktop Extensionは、サンドボックスのないアーキテクチャとAIエージェントに完全なシステム特権を付与することにより、間接的なプロンプトインジェクションに基づくゼロクリックリモートコード実行の脆弱性を引き起こします。この脆弱性は、信頼境界を欠くMCPプロトコルの設計上の欠陥を悪用するもので、攻撃者は外部データソースを汚染することで任意のコード実行を行うことができる。最高のリスク評価にもかかわらず、ベンダーは「脅威モデルの範囲外」という理由で脆弱性の修正を拒否し、AI時代のセキュリティ責任の分担をめぐる広範な論争を巻き起こした。このケースは、権限制御と入力検証という点で、AIエージェント・システムの根本的なセキュリティ・リスクを浮き彫りにしている。
主なポイントは以下の通り：
1.高特権サンドボックスレスアーキテクチャ：Claude DXTは、ブラウザのサンドボックスから切り離されたローカルMCPサーバーとして実行され、ユーザーからすべてのシステム特権を継承するため、高リスクの攻撃対象が生まれます。
2.ゼロヒット間接プロンプトインジェクション：攻撃者は、Googleカレンダーなどの正規のデータソースに悪意のあるコマンドを埋め込み、AIエージェントが勝手にコマンドを取得し、誤って実行するように誘導します。
3.MCPプロトコルの信頼境界の失敗：モデルコンテキストプロトコルは、低リスクの操作の出力が高リスクのシステムコールを直接トリガーすることを可能にし、AIを攻撃の踏み台にする「難読化されたエージェント」の脆弱性をもたらす。