CVE-2026-21852 PoC — Claude Code 脆弱性教育デモ

Security
CVE-2026-21852 PoC — Claude Code 脆弱性教育デモ

CVE-2026-21852 PoC — Claude Code 脆弱性教育デモ

Anthropic の Claude Code に関する脆弱性(CVE-2026-21852 など)を教育目的で示す Proof-of-Concept リポジトリの解説記事。サンプルコードは API 機密情報の漏洩やモデル制御に関する脆弱性パターン(MCP 注入、API exfiltration)を再現するための実験的実装を含み、攻撃ベクターの概念、検出ポイント、緩和策の方向性を理解するための学習リソースを提供する。※実運用系への悪用は禁止。

https://github.com/atiilla/CVE-2026-21852-PoC

概要

このリポジトリは、Anthropic の「Claude Code」に関して Check Point Research が公開した複数の脆弱性を教育目的で示す Proof-of-Concept(PoC)プロジェクトです。主に「MCP(Model Control Plane)注入」と「API exfiltration(API 経由による機密漏洩)」をテーマに、脆弱性の再現ディレクトリと簡易的な攻撃者側コンポーネント(プロキシ/サーバ)を Python で実装しています。現行バージョンでは既に修正済みである旨の注意書きが README に明記されており、許可のないシステムへの適用や実運用での使用は禁じられています。本稿ではリポジトリ構成、注目すべき技術的ポイント、セキュリティ対策の観点から分かりやすく整理します。

GitHub

リポジトリの統計情報

  • スター数: 1
  • フォーク数: 0
  • ウォッチャー数: 1
  • コミット数: 2
  • ファイル数: 9
  • メインの言語: Python

主な特徴

  • 教育目的の PoC:実際の攻撃コードを公開するのではなく、脆弱性パターンの理解を目的とした実験的実装を収録。
  • 複数ベクター:MCP 注入(CVE-2025-59536 相当)と API exfiltration(CVE-2026-21852)を個別ディレクトリで示す。
  • 攻撃者側インフラ:attacker_proxy.py / attacker_server.py により簡易的な攻撃者挙動を模擬。
  • 注意喚起付き:README に利用用途や責任についての明確な免責事項が記載されている。

技術的なポイント

本リポジトリで示される主な技術的関心事は「モデルに対する外部指示の注入」と「モデルを経由したデータ漏洩の実現可能性」です。MCP 注入の類は、モデルやランタイムが外部からのコマンドや構成情報をどのように取り込み、実行するかに依存します。具体的には、モデルがツール呼び出しや外部 API へのアクセスを行える設計になっている場合、入力プロンプトや中間指示(control plane)経由で呼び出し先やパラメータを上書きされると、想定外の操作が行われ得ます。このリポジトリはその概念実証として、攻撃者が提供するプロキシ経由でモデルの外部通信を乗っ取り、返り値を改竄したり、モデルに対して追加の命令を注入する挙動を模擬しています。

API exfiltration の観点では、モデルが外部 API へ機密情報を含むリクエストを送信してしまうリスクが問題になります。ここでの懸念点は、内部的に保持されるトークンや入力された機密データが、モデルの生成物あるいは自動化されたツール呼び出しによって外部へ送信される可能性です。PoC は攻撃者サーバへ誘導するフローを再現することで、どのタイミングでデータが露出しうるか、またログやネットワーク監視で検出可能かを示します。

防御側の観点では、次の対策が重要です:入力の厳密なサニタイズ、ツール呼び出し・外部通信の最小権限化とホワイトリスト化、モデルからの外部出力に対する機密検出フィルタ、及びランタイムレベルでのプロンプト整合性チェックと監査ログの強化。さらに、攻撃シナリオに対する脅威モデリングとペネトレーションテストにより、どの経路で機密が漏れるかを事前に評価することが推奨されます。

(上記は PoC の実装方針や概念を解説するものであり、具体的な攻撃手順やエクスプロイトコードの提供は意図していません。実際の環境で検証する際はベンダー提供の修正版を用い、適切な許可を得た上で行ってください。)

プロジェクトの構成

主要なファイルとディレクトリ:

  • CVE-2025-59536_mcp_injection: dir
  • CVE-2026-21852_api_exfil: dir
  • README.md: file
  • attacker_proxy.py: file
  • attacker_server.py: file

…他 4 ファイル

各ディレクトリは該当脆弱性を模擬するための最小構成を含んでおり、攻撃パスの概念を再現するための設定ファイルやサンプル入力が格納されています。attacker_proxy.py は通信経路中でリクエストやレスポンスを改変するプロキシの振る舞いを簡易的に再現し、attacker_server.py は攻撃者側の受信・ログ収集を模擬する小さな HTTP サーバとして機能します。これらを組み合わせることで「モデルが外部通信を行う -> 攻撃者が中継/応答を制御する -> 機密が外部へ流出する」というシナリオを再現できます。

まとめ

教育目的に特化した PoC であり、現行版は修正済み。検知・最小権限化が重要。

リポジトリ情報:

READMEの抜粋:

Claude Code Vulnerability Educational Demo

Disclaimer: This repository is for educational and authorized security research purposes only. All vulnerabilities demonstrated here are patched in current versions of Claude Code. Do not use any part of this project against systems you do not own or have explicit written permission to test. The author assumes no liability for misuse.

This project demonstrates three vulnerabilities disclosed by Check Point Research in Anthropic’s Claude Code C…