何が起きたか
Claude Codeバージョン2.1.38~2.1.162では、'.git'という名前のgitワークツリーを作成し、サンドボックスコンテキスト外のワークツリーへ移動できるため、gitディレクトリ混同攻撃を可能にしていました。悪意のあるリポジトリはCLAUDE.mdのプロンプトインジェクションと攻撃者が制御するgit設定を組み合わせることで、ワークツリー操作がcore.fsmonitorコマンド実行をトリガーし、ユーザーのホームディレクトリへのシンボリックリンクをフォローし、~/.zshenvなどのシェルスタートアップファイルを上書きします。zshはmacOSサンドボックス制限がBashツールペイロードに適用される前にこれらのファイルをソースするため、サンドボックスモードが完全に有効でも攻撃者コードはサンドボックス外で実行されます。修正は'.git'を有効なワークツリー名として拒否します。
なぜ重要か
これはプロンプトインジェクションからサンドボックス脱出への攻撃チェーンです:悪意のあるリポジトリをクローンしてClaude Codeを実行する開発者は、ホストシステム全体が侵害される可能性があります。この攻撃は読み取り専用権限モードとmacOSサンドボックス全体を回避し、攻撃者に開発者のマシン上の永続的なシェルスタートアップファイル制御を与えます。Claude Codeは数千のエンタープライズ開発者ワークステーション全体にデプロイされており、これは高いブラストラディアスのサプライチェーンリスクです。
攻撃経路
攻撃者は悪意のあるCLAUDE.md(プロンプトインジェクション)と細工されたgit設定をリポジトリに植え付けます。開発者がこれに対してClaude Codeを実行すると、ワークツリー操作がcore.fsmonitor実行、ホームディレクトリへのシンボリックリンク走査、~/.zshenvの上書きをトリガーし、サンドボックス外でコードを実行します。
影響を受けるシステム
@anthropic-ai/claude-code 2.1.38~2.1.162
緩和策
@anthropic-ai/claude-code ≥ 2.1.163にアップグレードしてください。自動更新ユーザーは自動的に修正を受け取りました。アドバイザリ: https://github.com/anthropics/claude-code/security/advisories/GHSA-7835-87q9-rgvv