0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

自分が送っていないメッセージを Claude Code が実行した——別セッションの他人の入力が会話に紛れ込む隔離の失敗(#72051)

0
Posted at

結論

Claude Code で一つの作業に集中していたら、自分が送っていないメッセージが、まるで自分の指示のように会話の中に突然現れた。中身はまったく別の文脈の、知らないコマンドだった。そして Claude Code は、それを自分への依頼として実行した——。

これは実際に GitHub の起票(#72051)で報告された事故です。この記事では、何が起きたのか、なぜ二重に怖いのか、そして自分の側で今日できる守りを、順に説明します。

この「別の人の入力が紛れ込む」ような、エラーも警告も出ないまま起きる事故を、症状ごとに設定で先回りして防ぐ全体像は、Claude Code 事故防止ガイド(¥800・第3章まで無料・全70章)にまとめています。まずは下を無料で読んでください。

何が起きたか

報告者は、一つの作業(あるプロバイダの連携の追加)だけに集中したセッションで作業していました。そこへ、その作業とはまったく関係のないメッセージが、自分が送ったかのように会話に現れました。本人は送っていません。中身は curlnpm install -g @clean-store/cli报错 という、別の文脈の入力でした。

自分のものでない証拠は三つあります。一つ、curlnpmcurlnpm とつながっていて、二つの入力が継ぎ合わされた跡がある。二つ、話題がまるで無関係。三つ、そのパッケージは実在せず、登録所で404が返る。にもかかわらず、Claude Code はこれを自分への依頼として受け取り、実行しました。

環境は、一台の機械と同じ作業のフォルダに、複数の Claude Code の窓とセッションを同時に走らせている使い方でした。報告者は、この同時の使い方が漏れと関係している可能性が高いと書いています。

なぜ二重に怖いのか

一つ目は、機密の漏れです。他人のメッセージが自分の会話へ入ってこられるなら、その裏返しとして、自分のメッセージが他人の会話へ漏れる危険が同じだけあります。今回は紛れ込んだ中身が無害でしたが、問題は中身ではなく、会話を隔てる境界そのものが破れたことです。

二つ目は、実行の危険です。紛れ込んだのが無害な命令だったのは運が良かっただけで、Claude Code はそれを疑わずに実行しました。もし紛れ込んだのが、ファイルを消す命令や、本番へ触る命令や、素性の知れないパッケージの導入だったら、そのまま走っていた可能性があります。

今日できる守り

根っこの原因(セッションの隔離が破れること)は、利用者の側では直せません。提供側の修正を待つ間、できるのは被害の範囲を狭めることです。

1. 同じフォルダに複数のセッションを同時にぶつけない

起票が「関係している可能性が高い」と挙げているのが、一台の機械と同じフォルダに複数の窓とセッションを同時に走らせる使い方です。当面は、並行して走らせるセッションを減らし、走らせるなら作業のフォルダを分けます。同時に触る境界が減るほど、混線の面も減ります。

2. 紛れ込みの手がかりに気づく

継ぎ合わされた不自然な入力(curlnpm のように単語が融合している)、いま進めている作業とまるで無関係な命令、実在しないパッケージ。この三つは、入力が外から紛れ込んだ時の手がかりです。会話の中に不自然な一手を見つけたら、進める前に手を止めて、それが本当に自分の依頼かを確かめます。

3. 紛れ込んだ危ない命令を、実行の手前で止める

一番効くのは、外から命令が紛れ込んでも、それが危ない形なら実行の手前で止まる網を先に張っておくことです。無料で配っている cc-safe-setup には、この網にあたる見張りが入っています。

npx cc-safe-setup

たとえば、意図しないパッケージの導入(npm や pip の導入)を実行の手前で止める見張りは、今回のような素性の知れないパッケージの一括導入が紛れ込んでも、そこで止めます。連結した命令を区切りごとに分けて危険を確かめる見張りは、継ぎ合わされた入力の後ろに隠れた破壊的な一手も見逃しません。ファイルを消す・本番へ触るといった破壊的な操作を実行の手前で止める見張りは、外から紛れ込んだのがそうした命令でも、一度止めてくれます。

配布の頁はこちら(npm)

正直な限界

これらの守りは、紛れ込んだ危ない命令が黙って実行される事故は防ぎますが、隔離そのものが破れて自分の会話が漏れる方の危険は、利用者の側では直せません。機密の漏れの側で打てる手は、同時に走らせるセッションを減らすことと、漏れの兆しに早く気づくことだけです。それでも、実行の側の網を張っておけば、境界が破れた時の一番大きな損害、つまり外から来た命令が環境を壊すことは止められます。


この「会話が混ざる・漏れる」不安を含め、データが消える・露出する事故をひとつずつ設定で先回りして防ぐ手順を、有料の手引き Claude Code 事故防止ガイド(¥800・全70章・第3章まで無料) にまとめています。実際に起きた事故から逆算した、検出と復旧と予防の全手順です。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?