Claudebotの急速な普及に伴い、深刻なセキュリティリスクが浮上している。本動画では、インターネット上に公開されている700以上のClaudebot インスタンスが抱える脆弱性、プロンプトインジェクション攻撃の危険性、悪意のあるスキルによるマルウェア感染リスクなど、具体的な脅威を解説する。また、サンドボックス環境の有効化、強力なLLMモデルの選択、セキュリティ監査の実行など、Claudebot開発者Peter推奨の6つの対策を紹介し、安全にAIエージェントを運用するための実践的なガイダンスを提供する。
Claudebotの急速な普及がもたらすセキュリティ脅威
Claudebotが突然人気を博したことで、私たちの周りには巨大なセキュリティ脅威が迫っています。この動画では、どのような脅威が存在するのか、そして適切な設定を行うことでどうやってそれを克服できるのかを手短にお伝えしたいと思います。
これはJameson Oraliが書いたブログ記事のおかげでまとめることができました。このブログ記事の集大成のような内容になっています。YouTubeの説明欄にリンクを貼っておきますので、この記事を書いてくれたJamesonに感謝します。
インターネット上に公開された750以上のClaudebotインスタンス
本題に入る前に、私が話しているセキュリティ脆弱性について簡単にお見せしましょう。これはインターネットをスキャンする非常に有名なウェブサイトです。ご存じない方のために説明すると、インターネットは常にスキャンされていて、開いているポートを把握しているんです。
この場合、shoddan.ioというウェブサイトがあって、そこでClaudebotの公開ポートがどれだけあるか確認できます。これらのIPアドレスを見てください。彼らはClaudeインスタンスをインターネット上で公開しているんです。
中には認証の後ろにあるものもあります。つまり、これらのサービスにアクセスするには認証を通過する必要があるということです。でも、認証なしのものもあるかもしれません。
Claudebotの2つの重要なコンポーネント
Claudebotについての私の前回の動画を見たことがある方はご存じだと思いますが、Claudebotは基本的に接続、つまりWhatsApp、Signal、Telegramなど様々なアプリケーションと接続するゲートウェイなんです。
Claudebotには侵害される可能性のある2つの重要なコンポーネントがあります。1つ目はゲートウェイです。ゲートウェイはロジック部分、AIロジック部分を処理するもので、メッセージのルーティング、ツールの実行、ツールの呼び出し、そして認証情報の管理を行います。
そしてClaudebot Controlと呼ばれるものがあります。これはウェブ管理インターフェースのようなものです。Claudebotのインストールを見たことがある方なら、CLAを通じてインストールした場合でも、最終的にウェブインターフェースにアクセスして、そこから設定したいすべての設定をコントロールすることになります。
そこには設定、統合、会話履歴、APIキー、認証情報など、すべてが保存されています。
実際の脅威:754件の露出インスタンス
Shodanのようなサービスにアクセスして、Claudebotを検索すると、すぐにこの特定のケースで使用できるものがあることがわかります。現在、話している時点で754件の結果があります。
Claudebotインスタンスが、つまりIPアドレスが利用可能な状態であることがわかります。このようなインスタンスは露出したインスタンスである可能性があります。
では、誰かがこの種のシステムのコントロールを取得したら何が起こるのでしょうか。最も重要なのは、彼らはあなたの全体の設定を読むことができるということです。これはJSONファイルです。彼らはあなたのAPIキーを見ることができます。Oathシークレットを見ることができます。ログインに使用した認証情報を見ることができます。これは非常に大きなリスクをもたらします。
実際、彼らはあなたの会話履歴を見ることができます。全体のコンテキストを見ることができます。なぜなら、Claudebotはすべてを保存するからです。Claudebotは何も忘れません。すべてを記憶します。これは機能ですが、この場合、あなたがClaudebotと行ったすべてのプライベートな会話を記憶することができるんです。
プロンプトインジェクション攻撃の実例
これだけでも、攻撃者があなたに対してシステムを使用するためにアクセスを取得するには十分です。でも、攻撃者ができる最も基本的なことを想像してみてください。例えば、CloudのTelegramアプリとClaudeboardシステムの間で会話が行われている場合、通常あなたはTelegramとチャットして何かをするように頼むわけです。
例えば、メールを読んで妻に何か返信してくださいと言うような感じです。でも、この場合、プロンプトインジェクションを使っている攻撃者が実際に何か違うことを言おうとしたらどうでしょう。
例えば、すべてのメールを削除する、顧客にメールを送って500ドル割引すると言う、などです。彼らは様々な方法であなたに問題を引き起こすことができるんです。
リバースプロキシ認証の脆弱性と修正
これらはすべて主にClaudebotが使用していたリバースプロキシ認証のために可能でした。そして、最新バージョンのClaudeを使用していれば、これは修正されているはずです。JSONが親切にもPRを上げてくれたからです。
この時点で最新バージョンを使用していれば、この問題に直面することはないかもしれませんが、心に留めておくべきことです。
Claudebotスキルを通じた攻撃リスク
誰かがClaudebotを使ってあなたを攻撃できる2つ目の方法は、Claudebotスキルを使う方法です。Claudebotスキル、つまりClaudebot Hubは非常にシンプルなシステム、つまり誰でもスキルをアップロードして、誰でもそのスキルをダウンロードして自分のコンピューターで使い始めることができるリポジトリの場所です。
でも問題は、Pythonリポジトリのアーティファクトやpyファイル、さらにはAndroidアプリケーションを使ったことがある方なら確実にご存じだと思いますが、時々人々が悪意のあるアプリケーションをそこに入れることがあるということです。
つまり、そのアプリケーションを自分のコンピューターにダウンロードして実行すると、インジェクトされたコードや悪意のあるコードが実行され、マルウェア、アドウェアなど、様々な種類のものをコンピューターにインジェクトする可能性があるということです。これは問題で、同じ問題がClaudebotスキルにも存在します。
誰でもスキルをアップロードして、単純にカウンターを操作してClaudebotスキルのリーダーボードのトップに上がることができます。人々がこれらのスキルをダウンロードして自分のコンピューターで実行し始めると、悪意のあるコードを実行させたり、悪意のあるサーバーにpingさせたりすることができます。
可能性は無限大です。だから、Claudebot自体が安全であっても、Claudeスキルをダウンロードして、それが適切に検証されていない場合、実際にはあなたのコンピューターにトラブルを招き入れているんです。
6つの重要なセキュリティ対策
これらが、Claudebotがあなたのセキュリティを脅かす可能性のある、特にVPSやクラウドサービスに24時間365日オンラインでインストールする場合に問題を引き起こす可能性のある、心に留めておくべき2つの最も重要なことです。
でも次の数分で、Claudebotの作成者Peterが推奨する、Claudebotを安全に保ち、この種のセキュリティ脆弱性攻撃にさらされないようにするための、いくつかの非常に重要なステップをお伝えします。
1つ目は、サンドボックスを有効にすることです。見てください、Claudebotにはサンドボックスと呼ばれるものがあって、多くの多くの人がそれをしません。なぜなら、みんなYOLOでやりたがるからです。
サンドボックス環境があります。サンドボックスを有効にすべきです。簡単な言葉で言うと、ただやってください。それはあなたにとって良いことです。サンドボックスを有効にすれば、サンドボックスの外で実行できるコマンドをホワイトリストに登録できます。サンドボックスがあって、特定のコマンドをサンドボックスの外で実行でき、それをホワイトリストに登録できます。
3つ目は、セキュリティドキュメントを読む必要があるということです。これは非常に非常に重要です。単なる趣味のプロジェクトで、ごく少数の人が使っているだけだった時は、それほど重要ではありませんでした。今や世界的な現象です。みんながそのためにMac Miniを買っています。みんながそれに夢中になっています。多くの人が本番環境で使用していますが、それはあまり安全ではありません。
ぜひセキュリティドキュメントを読んでください。YouTubeの説明欄にリンクを貼っておきます。
強力なLLMモデルの選択が重要
4つ目は、例えばClaude Opus 4.5のような非常に優れたモデルを使用することです。これは本当に本当に優れた大規模言語モデルです。なぜでしょうか。
まず第一に、特定のことを行うには大規模言語モデルの優れた能力が必要です。次に、プロンプトインジェクション技術に傾きにくい大規模言語モデルが必要です。
例えば、Claude Opus 4.5は本当に優れたモデルです。Claudeファミリーのモデルでさえ、彼らがFBIに報告したり、あらゆる種類の奇妙なことをすることをご存じでしょう。例えば、強力なファイアウォールのようなモデルが必要なら、十分に強力なLLMモデルを使用すべきです。
コストを節約しようとして、あまり人気のないモデル、あまり強力でないモデルを選択した場合、そしてそのモデルがプロンプトインジェクションに対する良い防御を持っていない場合、それはあなたにとって問題になるかもしれません。だから、強力なモデルを使用する方が良いです。
この場合、多くの人がOpus 4.5やSonnet 4.5と一緒に使用しています。両方のモデルは非常に防御的で、プロンプトインジェクション技術に対して強いです。
最重要:Claudebotセキュリティ監査の実行
次に、最も重要なこと、この動画から持ち帰るべきことが1つあるとすれば、それはClaudebotセキュリティ監査を実行することです。
Claudebot自体がすべてのセキュリティ問題を修正でき、ユーザーとしてあなたがする必要があるのは、ターミナルのCLAでClaudebotセキュリティ監査を実行することだけです。
それを行えば、Claudebotはチェックして検証する必要があることのリストを確認し、あなたのためにそれを修正してくれます。必ず実行してください。
プライベート使用とグループチャットの分離
最後に、Claudebotをプライベートに使用して個人情報などとチャットしている場合、そのClaudebotをグループチャットに招待しないでください。なぜなら、そこでも人々がプロンプトインジェクションを行って情報を取得したり、情報を漏洩させたりできるからです。
そこでは多くのことが間違って起こる可能性があります。だから、Claudebotとプライベートな会話をしているなら、それをプライベートに保つべきです。
これらがPeter Claudebotが推奨する6つのヒントです。
Anthropicアカウント停止の懸念
でも、一部の人々は、Claudebotで使用したためにAnthropicアカウントが停止されたと主張しているという噂があります。
それがどれほど真実かはわかりません。なぜなら、Anthropicは多くの人がClaudebotで使用したいからCloudのAnthropic向けに高額なサブスクリプションを購入しているので、ClaudeboardからAnthropicが利益を得ていると私は信じているからです。
だから、悪意のあることは何も起こっておらず、利用規約に反することもないのに、Anthropicが彼らのアカウントを停止する理由が地球上のどこにあるのか理解できません。
でも以前、人々がClaudeコードを異なるアプリケーションで使用しようとした時、Anthropicアカウントでオープンコードのようなものが欲しかった時、Anthropicは実際にアカウントを停止しました。Anthropicはこの種のことをすることで悪名高い会社です。
だから、趣味のプロジェクトを使いたいからといってアカウントを停止されないように、そういったことに目を光らせておいてください。
まとめ
要するに、私たちが安全であり、どのような脆弱性があるかを認識し、正しく使用すれば24時間365日の従業員になれるように助けてくれるこの素晴らしいコンテンツを提供してくれたJamesonとPeterに感謝します。また別の動画でお会いしましょう。ハッピーランピング!
コメント