技術的な説明
Cisco の AI 脅威インテリジェンス研究者Amy Chang は、2026年4月23日に、3月に Cisco の研究者が Anthropic の Claude Code のメモリファイルを正常に侵害し、永続性を維持して、AI コーディングアシスタントのあらゆるプロジェクトとセッションに実質的に感染させたことを開示しました。この攻撃は Node Package Manager (NPM) のポストインストールフックをベクターとして使用して、Claude Code の memory.md ファイルを修正しました。Anthropic はその後この問題を軽減しましたが、メモリファイルへの悪意のある追加は検出が困難であり、永続的なコンテキストを必要とするエージェントシステムの根本的な弱点を示しています。
攻撃経路
攻撃者はパッケージマネージャーのポストインストールフック(例:NPM postinstall スクリプト)を利用して、AI エージェントのメモリファイルに悪意のあるコンテンツを注入します。メモリファイルはセッションとプロジェクト全体に永続化するため、1 回の成功した修正により、エージェントのコンテキストと意思決定への継続的なバックドアアクセスが提供されます。この攻撃はステルスであることが多いのは、メモリファイルの内容は通常ユーザーによってレビューされず、エージェントによって暗黙的に信頼されているためです。
影響を受けるシステム
永続的なメモリを備えた AI コーディングアシスタント(Claude Code、メモリ付き GitHub Copilot、同様の IDE 統合)、memory.md または類似のコンテキスト永続性メカニズムを使用するエージェント AI システム、およびパッケージマネージャーフックに依存する開発者ツール。
緩和策
Anthropic は Claude Code の軽減策を実装しています。一般的な防御には、パッケージマネージャーフックの疑わしいファイル修正のスキャン、エージェントメモリファイルの整合性チェック、パッケージマネージャー実行コンテキストからのエージェントメモリストレージの分離、および予期しないメモリファイル修正に関するアラートが含まれます。AI セキュリティベンダーは、悪意のあるメモリ注入を検出するための専門的なツールを開発しています。