何が起きたか
Claude Code は huggingface.co を WebFetch ツールの信頼できるベアホスト名として事前承認しました。つまり、そのドメイン下のあらゆるパス (攻撃者制御モデルリポジトリを含む) が、許可プロンプトまたはコンテンツポリシーチェックなしで自動フェッチされました。HuggingFace リポジトリを公開または変更できる攻撃者は、Claude Code が開発者のエージェントセッションで静かに実行するプロンプトインジェクション命令を埋め込むことができます。
なぜ重要か
HuggingFace は AI モデル配布の主要ハブであり、数百万のパブリックリポジトリがあります。開発者は HuggingFace からモデルカードとドキュメントをフェッチするよう Claude Code に定期的に指示します。この信頼設定の誤りは、すべてのパブリック HuggingFace リポジトリを Claude Code ユーザーに対する潜在的なプロンプトインジェクションベクトルに変えます。これは AI コーディングエージェント自体への supply-chain スタイルの攻撃です。
攻撃経路
攻撃者が、モデルカードまたは README ファイルにプロンプトインジェクションペイロードを含む悪意のある HuggingFace モデルリポジトリを公開します。Claude Code は huggingface.co への任意のフェッチを許可プロンプトなしで自動承認するため、注入されたコンテンツは静かに消費され、エージェントアクションをリダイレクトできます。
影響を受けるシステム
Anthropic Claude Code 0.2.54 – 2.1.162
緩和策
Claude Code 2.1.163 以降にアップグレードしてください。アドバイザリ: https://github.com/anthropics/claude-code/security/advisories/GHSA-fg94-h982-f3mm