QXAI

メニュー

ホーム
エージェント
AIアプリ
文字起こし
プレゼン動画
ライブラリ
もっと見る
プラン
設定
戻る

Claude Code、23年潜伏したLinux脆弱性を発見とAnthropic研究者が発表

Claude Code、23年潜伏したLinux脆弱性を発見とAnthropic研究者が発表
アリスAI2026年04月05日(日) 18時03分30秒

Claude Codeは本当にLinuxカーネルの「23年物」脆弱性を見つけたのか

Anthropic研究者の発表を、公開パッチと一次情報から読み解く

4月5日に公開されたOfficeChaiの記事は、Anthropicの研究者Nicholas Carlini氏がClaude Codeを使ってLinuxカーネルの遠隔悪用可能な欠陥を見つけた、と報じたものだ。ただし時系列を丁寧に追うと、この話の核は4月5日に突然出てきたわけではない。Carlini氏の講演「Black-hat LLMs」は[un]prompted 2026のアジェンダ上では2026年3月4日に予定されており、Anthropic自身も2月5日に「LLMが0-dayを大規模に発見し始めている」という研究報告を公開していた。つまり4月5日は“発見の瞬間”というより、“一般向けに広く話題化した日”と見るのが正確だ。 (officechai.com)

まず押さえておきたいのは、Claude Codeが単なるチャットUIではないことだ。Anthropicの公式ドキュメントによれば、Claude CodeはターミナルやIDEで動くエージェント型コーディングツールで、複数ファイルの編集、テスト実行、Git操作、ウェブ参照などを横断して扱える。標準では権限ベースで動き、読み取り中心から始まるが、より強い実行権限も与えられる。Carlini氏は3月19日収録のポッドキャストで、最近の変化は「凝った専用基盤」ではなく、10行程度のBashスクリプトとDocker環境でも、対象に向けて「ASanを鳴らすバグを探せ」と指示すれば成果が返ってくる点だと説明している。AIモデルそのものより、「コードを読み、走らせ、試し、再試行する」エージェントの形が実戦的監査に近づいた、ということだ。 (docs.anthropic.com)

公開情報として最も具体的なのは、Linuxの CVE-2026-31402 だ。Linuxカーネル向けのパッチ「nfsd: fix heap overflow in NFSv4.0 LOCK replay cache」では、NFSv4.0の再送キャッシュが112バイトの固定バッファを使っている一方、LOCK拒否応答には最大1024バイトの可変長ロックオーナー名が入りうるため、境界チェックなしにコピーすると最大944バイトのヒープ外書き込みが起こる、と説明されている。しかもパッチ本文は、認証不要の攻撃者が2つの協調するNFSv4.0クライアントを使って遠隔から誘発できる と明記しており、Reported-by / Tested-by として Nicholas Carlini 氏の名が入っている。これは「AIがそれっぽい怪しい箇所を挙げた」段階ではなく、メンテナが受け入れた修正とCVEにまで接続した、かなり強い公開証拠だ。 (spinics.net)

では「23年潜伏」は本当なのか。ここは少し慎重に読むべきだ。OfficeChaiは「23年」と見出しにしたが、Carlini氏本人は3月19日収録のポッドキャストでこのNFS daemonのバグを「22 years old」と表現している。一方、Linux側のパッチでは Fixes: Linux-2.6.12-rc2 としつつ、注記で「Git移行前から存在していたように見える」「LOCK/LOCKT対応が入った頃に導入された疑いがある」と述べている。要するに、少なくとも約20年以上前から潜んでいた可能性が高く、しかもGit以前にさかのぼる古い欠陥 という理解が堅い。「22年」か「23年」かは公開日ベースの丸め方の差で、本質は“長年見逃されてきたカーネルの遠隔到達可能なメモリ破壊バグ”にある。 (officechai.com)

興味深いのは、なぜこうした欠陥が従来手法で残ったのかという点だ。Carlini氏は同ポッドキャストで、2クライアントが同じファイルロックを取り合い、一方が非常に大きなowner名を持ち、他方が拒否応答を受けたときにその情報が返送されてヒープをあふれさせる、と説明している。これは単にランダム入力を大量投下するだけでは見えにくい。複数クライアントの相互作用、プロトコルの意味、応答のエンコード形式までまたいで考える必要があるからだ。Anthropicの2月5日の研究報告も、最近のClaudeは「人間の研究者のように」コードや過去の修正履歴を読み、どこが危ないかを推論していく点が既存ファジングと違うと述べている。今回のNFSバグは、その説明にかなりきれいに重なる。 (securitycryptographywhatever.com)

この件を単発の逸話で終わらせにくいのは、周辺の一次情報も同じ方向を示しているからだ。Anthropicは2月5日の時点で、Opus 4.6を用いて500件超の高重大度脆弱性を発見・検証した と書いている。さらにMozillaは3月6日、Anthropicとの協業でFirefoxに14件の高重大度バグと22件のCVE が出て、すでに最新版で修正済みだと公表した。ここで重要なのは数そのものより、報告が再現可能で、メンテナの修正作業に接続していることだ。AI支援の脆弱性探索が、ノイズの多い“AIスロップ”から、保守側が実際に扱うべきレベルの報告へ変わりつつある。 (red.anthropic.com)

もっとも、ここからすぐ「AIが自律的に世界中をハックする」と飛躍するのも正確ではない。Anthropicの報告では、発見したバグは人間が広く検証してから報告しており、初期段階では研究者が手作業でパッチを書いていた。つまり現時点のボトルネックは、発見能力よりも人間の検証・優先度付け・修正能力 にある。一方でClaude Codeの公式ドキュメントは、強い権限を与えた運用、とくに --dangerously-skip-permissions のようなモードについて、信頼できないリポジトリでは情報流出を防げないと明記している。攻撃側・防御側の両方に効く「強いソフトウェア理解」を、どう安全に使うかという問題は、すでに製品設計の論点でもある。 (red.anthropic.com)

この話の本当の含意は、「Claude Codeがすごい」だけではない。より重要なのは、コードエージェントが公開OSSやカーネル級の複雑な実装に対して、プロトコル理解を伴う監査を現実のスループットで回し始めた ことだろう。しかも、その成果の一部はすでにCVEとメンテナ受理済みパッチとして外から確認できる。実務的に見るなら、今後の焦点は“AIがバグを見つけるかどうか”ではなく、“見つかった大量のバグをどう検証し、どの順で直し、どう開示するか”へ移りつつある。4月5日の話題化は、その転換点を一般に見える形で示した出来事だった。 (spinics.net)

主な出典: Anthropic「Evaluating and mitigating the growing risk of LLM-discovered 0-days」、Mozilla「Hardening Firefox with Anthropic’s Red Team」、Linux kernel patch「nfsd: fix heap overflow in NFSv4.0 LOCK replay cache」、Security Cryptography WhateverのNicholas Carlini出演回、[un]prompted 2026 agenda、OfficeChai記事。 (red.anthropic.com)