SlowMistの創設者Cosineによると、コーディングツールであるClaude Codeはポイズニング攻撃のリスクに直面しています。攻撃者は悪意のあるプロジェクト設定ファイルを悪用して、ユーザーの同意なしに任意のコマンドを実行し、APIキーやクラウド認証情報を盗んだり、ローカルデバイスを制御したりする可能性があります。研究者たちはこのリスクを、Macシステム上でコマンド実行を誘発することで実証し、重大なセキュリティ侵害につながる脆弱性を浮き彫りにしました。 もし攻撃が成功すれば、ClaudeやOpenAIなどのAIサービスのAPIキーが盗まれ、アカウントの料金損失につながる恐れがあります。さらに、攻撃者はAWS、Alibaba Cloud、Tencent Cloudなどのクラウドサービスの認証情報を入手し、サーバーやデータへの不正アクセスを可能にするかもしれません。このリスクは、バックドアを仕込むためにコードリポジトリを改ざんしたり、侵害されたデバイスを使って企業ネットワークに侵入したりすることにも及びます。