技術的な説明
Cisco AI 脅威インテリジェンス研究者の Amy Chang は 2026 年 4 月 23 日に、3 月に Cisco 研究者が Anthropic の Claude Code のメモリファイルを正常に侵害し、永続性を維持して、AI コーディング アシスタントのすべてのプロジェクトとセッションに事実上感染させたことを開示しました。この攻撃は Node Package Manager (NPM) のポストインストールフックをベクトルとして使用して Claude Code の memory.md ファイルを変更しました。Anthropic はその後この問題を軽減しましたが、メモリファイルへの悪意のある追加は検出が困難であり、永続的なコンテキストを必要とするエージェンティックシステムの基本的な弱点を表しています。
攻撃経路
攻撃者はパッケージマネージャーのポストインストールフック (NPM postinstall スクリプトなど) を悪用して、AI エージェントのメモリファイルに悪意のあるコンテンツを注入します。メモリファイルはセッションとプロジェクト全体で永続するため、単一の正常な変更により、エージェントのコンテキストと意思決定への継続的なバックドアアクセスが提供されます。この攻撃はステルス性があります。メモリファイルの内容は通常ユーザーによってレビューされず、エージェントによって暗黙的に信頼されるためです。
影響を受けるシステム
永続的なメモリを備えた AI コーディング アシスタント (Claude Code、メモリ機能付き GitHub Copilot、同様の IDE 統合)、memory.md または同様のコンテキスト永続化メカニズムを使用するエージェンティック AI システム、およびパッケージマネージャーフックに依存する開発者ツール。
緩和策
Anthropic は Claude Code の軽減策を実装しました。一般的な防御には、パッケージマネージャーフックの疑わしいファイル変更のスキャン、エージェント メモリファイルの整合性チェックの実装、パッケージマネージャー実行コンテキストからのエージェント メモリストレージの分離、およびメモリファイルの予期しない変更に対するアラート通知が含まれます。AI セキュリティベンダーは悪意のあるメモリ注入を検出するための専門ツールを開発しました。