ClaudeBleed: Chrome拡張を乗っ取りGmailとGitHubを盗む脆弱性の全貌
「AIレースで各社は機能を急ぎすぎ、セキュリティの基礎を蔑ろにしている。AIエージェントが普及するにつれ、こうした構造的欠陥は時限爆弾だ」。LayerXのブラウザセキュリティ研究者Aviad Gispanは2026年5月7日、Claude in Chromeに発見した脆弱性「ClaudeBleed」を公開した際にこう述べた(出典: LayerX)。
Anthropicが全有料プランのユーザーに開放したばかりのChrome拡張機能が、公開から数週間も経たないうちに深刻な脆弱性を抱えていたことが明らかになった。問題の本質は単純なコーディングミスではなく、拡張機能のアーキテクチャそのものにある。
- Claude in Chrome(Beta)を使っている、または使おうとしているユーザー
- Gmail・Google Drive・GitHubをブラウザから使っている開発者・ビジネスパーソン
- 企業でAIツールのセキュリティポリシーを策定している担当者
- AI拡張機能のセキュリティリスクを理解したいITエンジニア
ClaudeBleedとは何か
ClaudeBleedは、Anthropicが提供するChrome拡張機能「Claude in Chrome」に存在する脆弱性の通称だ。LayerXのセキュリティ研究者Aviad Gispanが2026年4月27日にAnthropicへ報告し、5月7日に詳細を公開した(出典: SecurityWeek)。
脆弱性の要点は一行で言える。ゼロ権限の悪意ある拡張機能が、Claudeに任意のコマンドを送り込める。
具体的にできることは次の通りだ。
- GmailのメールをC2サーバーに転送する
- Google Driveのファイルを外部ユーザーと共有する
- GitHubのプライベートリポジトリからソースコードを窃取する
- ユーザーの代わりにメールを送信・削除する
LayerXはこれらすべての攻撃手法に対してPoC(Proof of Concept: 攻撃が実際に成立することを示す検証コード)を作成し、Anthropicに提出している。
技術的な仕組み: externally_connectableの落とし穴
ClaudeBleedの根本原因は、拡張機能のマニフェストに記述されたexternally_connectable設定にある。
Claude in Chromeは、claude.aiドメイン上で動作するスクリプトから拡張機能へのメッセージ送信を許可するよう設定されている。この設定は、claude.aiがChromeのサイドパネルに展開されたClaudeと連携するために必要なものだ。
問題は、この設定がオリジン(送信元ドメイン)しか検証せず、実行コンテキストを検証しない点にある。
攻撃の流れは次のようになる。
- ゼロ権限の悪意ある拡張機能が、claude.aiにコンテンツスクリプトを注入する
- そのスクリプトが
chrome.runtime.sendMessageでClaude拡張機能にコマンドを送信する - Claude拡張機能はメッセージが正規のAnthropicコードから来たのか悪意あるスクリプトから来たのか識別できない
- 攻撃者の指示通りにClaudeがWebサービス上でアクションを実行する
Manifold SecurityのHead of Research、Ax Sharmaはこの手口をこう評価した。「ClaudeBleedのもっとも巧妙な点はインジェクション自体ではなく、エージェントが置かれた環境を操作することで、内側からは正当に見えるアクションを生成させたことだ。業界が防御を構築すべきはこの種の脅威だ」(出典: CSO Online)。
承認フローを騙す2つの技術
攻撃者がClaudeを乗っ取った後、ユーザーに不審に思われないよう2つのテクニックが使われる。
承認ループ(Approval Looping): ユーザーの確認を求めるダイアログが出現した際、「はい、続けてください」という確認メッセージを繰り返し送り込み、確認フローを満たしてしまう。
知覚操作(Perception Manipulation): DOMを動的に書き換え、例えば「共有する」ボタンのラベルを「フィードバックを依頼する」に変更するなど、ClaudeのビジュアルAIが見る画面自体を改ざんする。Claudeにとっては正当なアクションを行ったように見える。
Anthropicのパッチと3時間でのバイパス
Anthropicは4月27日の報告を受け、2026年5月6日にバージョン1.0.70をリリースした。パッチの内容は「標準アクションに明示的な承認フローを追加する」というものだった。
しかしGispanはこのパッチを3時間でバイパスした(出典: CyberNews)。
バイパス方法は2つあった。
特権モードへの強制切り替え: 拡張機能を「Act without asking(確認なし動作)」モードに強制的に切り替えることで、新しい承認フローを完全に迂回できる。ユーザーへの通知も同意も不要で切り替えが可能だった。
サイドパネル初期化フローの悪用: サイドパネルの初期化プロセスを悪用して、セキュリティチェックを回避した別の特権モードセッションを強制的に生成する。
Business Standardは「Anthropicのパッチは症状を治療したが、根本原因を修正しなかった」と指摘する(出典: Business Standard)。externally_connectableハンドラ自体は削除されず、UIレイヤーの保護が追加されたに過ぎない。Anthropicは公式に現在のパッチ状況について詳細な声明を出していない。
「混乱した代理人」問題
セキュリティ研究者Harper Foleyは今回の脆弱性を「confused deputy(混乱した代理人)問題」と分析した。
AIエージェントは本質的に「信頼できない外部コンテンツ(Webページ、メール、ドキュメント)を消費しながら、同時に特権アクセス(ブラウザ操作、ファイルシステム、企業アプリの認証情報)を保持している」という矛盾した状態にある。ClaudeはあなたのGmailを読む許可を持ちながら、どのコンテンツが本当に信頼できるかを判断できない。
この構造上の問題は、パッチ一つで解決できるものではない。
「光」と「影」: Claude in Chromeの価値とリスク
Claude in Chromeでできること
XDA DevelopersのレビューワーはClaude in Chromeを「今まで使い続けたいと思った唯一のAIブラウザ拡張機能」と評価した(出典: XDA Developers)。
実際の使用例として挙げられるのは次のようなものだ。競合他社のサイトを巡回して価格・機能・ポジショニングを抽出し、プレゼン用のスライドにまとめる。Amazon上での最安値商品を自動検索する。複数の言語で同時に調査を行う。
Claude Code、Coworkとの統合により、AIエージェントがブラウザに直接接続できる点はブラウザネイティブのAIワークフローとして競合製品より優位性がある。
しかしリスクは現実だ
問題は、これらの強力な機能が攻撃者にとっても同様に魅力的である点だ。
セキュリティ企業の中には、ClaudeBleed発覚後にチーム全員の端末からClaude Chrome拡張機能を削除した企業もある(出典: CyberSecurityNews)。特にGitHubのプライベートリポジトリや企業のGoogle Workspaceを使っているチームにとって、リスクは無視できない。なお、Claude Codeのセキュリティ機能はこれとは別の機能であり、脆弱性スキャン等を提供しているが、今回の拡張機能の問題とは直接関係がない点に注意が必要だ。
ClaudeだけではないAIブラウザ拡張の問題
ClaudeBleedは孤立した事例ではない。2026年に入ってから、主要なAI拡張機能で同種の問題が次々と発覚している。
ChatGPhish(ChatGPT拡張): Permiso Securityの研究者Andi Ahmetiが2026年4月29日に発見。ChatGPTのMarkdownレンダリングパイプラインを悪用し、偽の「OpenAIセキュリティ警告」ボタンやQRコードをChatGPTのUI内に表示させる。OpenAIは当初「再現不可」として閉じ、実質的な修正なしで推移している(出典: The Hacker News)。
Geminiサイドパネル乗っ取り(Unit 42報告): Palo Alto NetworksのUnit 42は、Geminiサイドパネルが悪意ある拡張機能に乗っ取られた場合、Geminiが正当な目的のために持っている特権アクセスがそのまま攻撃者に渡ると報告した(出典: Palo Alto Networks Unit 42)。
悪意ある拡張機能の大規模キャンペーン: 900,000人以上のユーザーに影響した悪意ある拡張機能が、ChatGPT、Claude、Gemini、Copilot、Grokを含む複数のAIプラットフォームからの会話データを窃取していたことが判明。一方の拡張機能はGoogleの「おすすめ」バッジを取得した状態での問題だった。
Cloud Security Allianceの2026年5月調査では、セキュリティ専門家の92%がAIエージェントの普及が組織のセキュリティに影響を与えることを懸念している(出典: CSA)。
今すぐ取るべき対策
根本的な修正が確認されるまでは以下の対応を検討すること。
- Claude in Chromeを「Ask before acting(確認してから動作)」モードで使う
- 使用していないChrome拡張機能を整理・削除する
- GitHubやGoogle Workspaceを業務利用している端末でのClaude in Chrome使用は慎重に判断する
- Anthropicのリリースノートを定期的に確認し、新しいパッチが出たらすぐに更新する
Anthropicも「Ask before acting」モードの使用を推奨している(出典: Anthropic Help Center)。「Act without asking」モードは利便性が高いが、現状では攻撃者にとっての出口でもある。
個人利用であれば、インストール済みの拡張機能を見直し、信頼できる発行元以外のものを削除するだけでリスクを大幅に下げられる。問題はゼロ権限の拡張機能でも攻撃が成立する点にあるため、「権限を要求していないから安全」という判断は通用しない。
企業利用では、MDMやブラウザポリシーで拡張機能のインストールを管理し、Claude in Chromeを業務用端末で許可するかどうかを再評価する時期だ。
Claude in Chromeのベータ版を使っているなら、今すぐ設定から「Ask before acting」モードを確認しよう。Anthropicのヘルプセンター「Using Claude in Chrome safely」に手順が掲載されている。
まとめ
ClaudeBleedは、AIエージェントのブラウザ統合が持つ構造的リスクを具体的な形で示した事例だ。問題の本質は一つのバグではなく、「信頼できないコンテンツを消費しながら特権アクセスを保持する」というAIエージェントのアーキテクチャ上の矛盾にある。
Anthropicのパッチが3時間でバイパスされたという事実は、根本的な設計の見直しなしにこの問題は解決しないことを示している。同種の問題はChatGPTやGeminiでも確認されており、業界全体の課題だ。
現実として、AI拡張機能の便利さは本物だ。しかし同時に、これらのツールは私たちの最も機密性の高い情報(メール、コード、ドキュメント)へのアクセス権を持っている。そのリスクと利便性のトレードオフを意識しながら使うことが、今この時点での最善策だ。
関連記事
- Claude Code セキュリティ機能: AIが脆弱性を自動発見する新時代
- Claude Managed Agents「Dreaming」機能: 自己学習するAIエージェントの仕組み
- AI開発者のスキル低下問題: 依存とリスクの現在地
本記事は2026年6月時点の公開情報をもとに執筆しています。脆弱性の状況は日々変化するため、最新のパッチ状況はAnthropicの公式ページおよびLayerXのブログを参照してください。本記事に含まれる技術情報はセキュリティ意識向上の教育目的で提供しており、実際の被害状況や修正状況は執筆時点での報道をもとにしています。本記事の情報を利用して第三者のシステムへの不正アクセスを行うことは不正アクセス禁止法により禁止されています。