2026年5月20日、セキュリティ研究者アオナン・グアン氏が、Anthropic社のAIコーディングアシスタント「Claude Code」のネットワークサンドボックスに、約5.5か月間にわたりバイパスの脆弱性が存在していたことを公開で報告した。
脆弱性はSOCKS5ホスト名のヌルバイトインジェクションで、2025年10月20日のv2.0.24から2026年4月1日に修正されたv2.1.90までの約130バージョンに影響した。JavaScriptのendsWith()とlibcのgetaddrinfo()のパーサー差異を悪用し、AWS認証情報、GitHubトークン、環境変数、APIキーなどの窃取が可能だった。これは1度目のバイパス(CVE-2025-66479、v2.0.55で修正)に続く2度目の事例である。
Anthropicはグアン氏のHackerOneレポート(#3646509)を重複として処理し、2026年5月10日時点でSOCKS5バイパスについてのCVEを発行していない。
From: 
Claude Code’s Network Sandbox Vulnerability Exposes User Credentials and Source Code
【編集部解説】
私が今回の事案で最も注目したのは、「同じサンドボックスが、別の研究者から別の手口で、再び完全に突破された」という構造そのものです。アオナン・グアン氏自身が指摘するとおり、外部からの調査が二度行われ、二度ともバイパスに成功したという事実は、単独のバグというより「設計や運用の体質」を映し出していると言えるでしょう。
まず技術的なキモを噛み砕いておきます。今回の脆弱性は「パーサー差異(Parser Differential)」と呼ばれるクラスのバグです。同じ文字列を、JavaScriptとC言語の標準ライブラリ(libc)とで「違う意味」に解釈してしまう、というすれ違いを突いた攻撃でした。
具体的には、許可リスト判定を行うJavaScriptは、ヌルバイト(\x00)をただの文字として扱います。一方、OS側でDNS解決を担うlibcのgetaddrinfo()は、ヌルバイトを「文字列の終わり」とみなして以降を切り捨てます。attacker-host.com\x00.google.comという細工された文字列を投げ込むと、フィルターは「末尾が.google.comだからOK」と判断し、OSは「attacker-host.comに接続せよ」と動く。フィルターと実行系が、別々のホスト名に対して「合意」してしまう、という奇妙な状態が生まれます。
なぜ今このニュースを取り上げるのか。それは、Claude Codeに代表される「AIコーディングエージェント」が、もはや一部のアーリーアダプターの遊び道具ではなく、企業の開発現場に深く食い込み始めているからです。エージェントが触れる先には、AWSの認証情報、GitHubトークン、社内APIのエンドポイント、各種APIキーなど、漏れれば事業に直結する資産が並んでいます。サンドボックスはまさに、そうした資産とAIの行動範囲を隔てる「最後の柵」として期待されていた仕組みでした。
その柵が、サンドボックスが一般提供された2025年10月20日のv2.0.24から、修正版のv2.1.90が出る2026年4月1日まで、約130バージョン・5.5か月にわたり機能していなかった。これは「攻撃が可能だった」というより、「ユーザーが柵があると信じていた期間に、実は柵がなかった」と表現するほうが、事の本質に近いと感じます。
さらに深刻なのは、この脆弱性が「プロンプトインジェクション」と組み合わさったときです。GitHubのissueコメントやREADME、ドキュメントの中に悪意ある指示文を仕込んでおき、それをClaude Codeに読み込ませる。エージェントが指示通りに動いてサンドボックス内部で攻撃コードを実行し、今回のバイパスを使って、生のSOCKS5通信で社外のサーバーへ機密情報を送り出す——という連携プレイが成立してしまいます。通常のHTTP通信ログには痕跡が残りにくいルートで持ち出される点が、検知の難しさを跳ね上げています。
私が編集者として強調しておきたいのは、Anthropicの対応プロセスへの疑問符です。グアン氏のHackerOneレポートは「内部で把握済み」として重複扱いでクローズされ、修正は2026年5月10日時点でCVE登録もなく、リリースノートにもセキュリティ修正の表記がない、いわゆる「サイレントパッチ」で済まされました。前回のCVE-2025-66479も、Claude Code本体ではなく依存ライブラリsandbox-runtimeに対してのみ発行され、しかも深刻度はCVSS 1.8という低スコアでした(発見者自身もこのスコア評価の妥当性に疑問を呈しています)。
ここから見えるのは、AI業界がまだ「成熟したセキュリティ開示文化」に追いついていないという実情です。従来の伝統的ソフトウェアベンダーであれば、影響範囲5.5か月・130バージョンというスケールの脆弱性は、公式アドバイザリと顧客への能動的な通知が当然のフローでしょう。AIエージェント市場が急成長するなかで、「速く出す」競争と「誠実に開示する」責任のバランスを、業界全体でどう取っていくのか。今後の規制やガイドライン整備、企業間取引における監査要件にも、必ず波及してくる論点だと見ています。
実務的な教訓は、研究者自身の言葉が端的に物語っています。「ベンダーが提供するサンドボックスは多層防御の一つに過ぎず、信頼の境界線そのものではない」。エージェントが届かない場所——ホスト側のファイアウォール、ハイパーバイザー層のエグレス制御、IAMロールを持たない使い捨てコンテナ、長寿命APIキーを置かない開発環境——こうした「エージェントが影響を及ぼせないレイヤー」を、自社側で重ねておくことが、これからのAI活用には不可欠になります。
最後にポジティブな視点も添えておきたいと思います。今回のような外部研究者による精緻な開示は、業界全体の安全性を引き上げる原動力です。グアン氏のような独立した目が機能していること自体は、エコシステムが健全に成長している証左でもあります。私たちユーザー・企業の側も、ベンダー任せにせず、自らセキュリティ設計の責任を引き受ける——その姿勢こそが、AIエージェントという「人類の新しい道具」を、長期的に安全に使いこなしていく鍵になるはずです。
【用語解説】
サンドボックス(Sandbox)
プログラムを隔離された環境で動作させ、システムへの影響範囲を制限する仕組みのこと。AIエージェントの場合、認証情報や社内資産への到達範囲を限定する目的で使われる。
ネットワークサンドボックス
通信の出入り口(エグレス)を制限し、許可したホストにしか接続できないようにする隔離手法。Claude Codeでは許可ドメインのリスト(allowlist)を設定する仕組みが提供されていた。
SOCKS5
TCP通信を中継するためのプロキシプロトコルの第5版。HTTPに限らず任意のTCP通信を仲介でき、本件ではClaude Codeの通信制御の中継点として用いられていた。
ヌルバイトインジェクション
文字列の中に「ヌル文字(\x00)」を埋め込み、それを処理するプログラムの解釈の違いを悪用する攻撃手法のこと。CWE-158として分類される。
パーサー差異(Parser Differential)
同じ入力データを、二つ以上の処理系が異なる規則で解釈してしまうことに起因する脆弱性クラス。CWE-436「解釈の衝突」に該当する。
プロンプトインジェクション
AIに与えられる入力文の中に、本来の利用者が意図しない命令文を紛れ込ませ、AIの挙動を乗っ取る攻撃手法。READMEやissueコメントなどの「ふつうの文書」が攻撃ベクターになり得る点が特徴である。
libc / getaddrinfo()
C言語の標準ライブラリ「libc」が提供する、ホスト名からIPアドレスを解決する関数のこと。C言語の慣習上、文字列はヌル文字で終端として扱われる。
CVE(Common Vulnerabilities and Exposures)
公開された脆弱性に対して付与される国際的な識別番号のこと。MITRE社が採番を管理している。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を0.0〜10.0で数値化する評価指標。本件の前回の脆弱性CVE-2025-66479は1.8(低)とされたが、発見者自身がこのスコア評価に疑問を呈している。
ハイパーバイザー / エグレス制御
ハイパーバイザーは仮想マシンを動作させる基盤ソフトウェアのこと。エグレス制御は外向き通信を許可・遮断する仕組みで、ファイアウォールやクラウドのネットワーク設定などで実装される。
サイレントパッチ
脆弱性の修正をリリースノートに明記せず、静かに含める対応のこと。CVEや公式アドバイザリの発行を伴わないケースを指して用いられる。
【参考リンク】
Anthropic 公式サイト(外部)
Claude Codeを開発する米国のAI企業の公式サイト。安全性研究と各種AIプロダクトの提供を行っている。
Claude Code 公式ドキュメント(外部)
Anthropicが提供するAIコーディングエージェントの公式ドキュメント。インストール手順や設定方法、変更履歴を公開している。
Claude Code GitHubリポジトリ(外部)
Claude Codeのソースコードとリリース履歴が公開されているリポジトリ。セキュリティアドバイザリも掲載される。
HackerOne 公式サイト(外部)
脆弱性報告と報奨金プログラムを仲介するプラットフォーム。グアン氏も本件をここから報告した。
NVD(National Vulnerability Database)(外部)
米国国立標準技術研究所(NIST)が運営する脆弱性データベース。CVE番号と深刻度評価などを公開している。
GitHub Advisory Database(外部)
GitHubが運営するセキュリティアドバイザリのデータベース。オープンソースの脆弱性情報を集約している。
CVE-2025-66479 GitHub Security Advisory(外部)
今回の前段にあたる1度目のサンドボックスバイパスに関する正式アドバイザリ。sandbox-runtimeに対して発行された。
Aonan Guan 氏のブログ(外部)
今回の脆弱性を発見した研究者の個人サイト。過去のAIセキュリティ研究や講演情報がまとめられている。
【参考記事】
Second Time, Same Sandbox: Another Anthropic Claude Code Network Sandbox Bypass Enables Data Exfiltration(外部)
発見者グアン氏自身による2026年5月20日付の公開報告。約130バージョン・5.5か月の影響範囲と再現コードを詳述している。
Anthropic Silently Patches Claude Code Sandbox Bypass(外部)
SecurityWeekによる報道。2件のバイパスの経緯とプロンプトインジェクションとの連携リスクを整理している。
Even Claude agrees: hole in its sandbox was real and dangerous(外部)
The Registerによる報道。5か月で2度のサイレント修正が行われた経緯と研究者の所属を伝えている。
Claude Code Sandbox Flaw Exposes Credentials and Source Code(外部)
Cyberpressによる報道。HackerOne#3646509の処理経緯と、ユーザーが取るべき具体的な対応手順をまとめている。
CVE-2025-66479: Anthropic’s Silent Fix and the CVE That Claude Code Never Got(外部)
1度目のバイパスを記録したグアン氏のブログ。CVSS 1.8という評価への発見者自身の疑問も明記されている。
【関連記事】
Claude Codeに重大な脆弱性3件、設定ファイル経由でマシン乗っ取りの危険性(2026年2月26日)
Check Point ResearchがClaude Codeに発見した別の脆弱性3件。MCP同意バイパスやAPIキー窃取など、AIコーディングエージェントの設定面のリスクを扱う。
Anthropic「MCP」プロトコルにシステミックな脆弱性、1.5億ダウンロードに波及か(2026年4月18日)
Ox SecurityがMCPに見出したシステミックな脆弱性の報道。本記事と同様、Anthropicの脆弱性開示姿勢が論点となる事案である。
AnthropicのMCP Inspectorに致命的欠陥|エージェンティックAIの安全性に警鐘(2025年7月13日)
エージェンティックAIの安全性に警鐘を鳴らした事案。本記事の前史にあたる文脈として、AIエージェントを取り巻くリスク像を整理できる。
【編集部後記】
みなさんは、ふだんお使いのAIコーディングエージェントが「どこまで触れる権限」を持っているか、改めて確認されたことはあるでしょうか。私自身、便利さに身を委ねるあまり、エージェントの背後でどんな通信が走っているのか、意識から抜け落ちている時間が長くなっていたことに気づかされました。今回の件は、AIを止めるべきだ、という話ではないと思っています。
むしろ、AIに任せる範囲と、人間が手綱を握り続ける範囲を、自分の言葉で線引きできる人がこれから強くなる——そんなフェーズに入ったのだと感じます。みなさんのチームでは、AIエージェントの権限設計をどんなふうに育てていますか。よろしければご感想やご自身の工夫を、お気軽にお聞かせください。
