Prompt injection 対策 — Claude Code が悪意ある README に騙されないためのハードニング
2025〜2026 年にかけて Claude Code Action の RCE 脆弱性(Anthropic 評価 CVSS 7.7)や、関連 CVE-2025-54794/54795(Cymulate 報告)など、AI コーディング環境への prompt injection 攻…
#セキュリティ♥ 0 · 💬 0
Topic Cluster · Browse by Tag
#セキュリティ
Claude Code コミュニティで投稿された #セキュリティ 関連の Tips・Q&A・実装ノウハウを 7 件まとめました。
gh CLI を Claude Code 経由で安全に使う — 権限境界とトークンの分離
Claude Code は CLI を「最もコンテキスト効率の良い GitHub 操作手段」として公式 Best Practices で推奨している。一方で のデフォルトスコープは と広めで、Claude にそのまま渡すとリスクが大きい。本稿は権限境界を作る現実的な手順を整理する…
#セキュリティ♥ 0 · 💬 0
GitHub Actions で Claude Code を回す — secrets を漏らさない 3 つの実装パターン
Anthropic 公式の は 2025 年 8 月 26 日に v1.0 がリリースされ、PR コードレビュー・Issue 自動トリアージ・ドキュメント同期などを CI で回せる。便利な反面、設定を誤ると API キーや内部情報が公開ログに漏れる。本稿は公式 Setup ドキュ…
#セキュリティ♥ 0 · 💬 0
GitHub fine-grained PAT を Claude Code に渡すときの最小権限スコープ設計
Claude Code に GitHub PAT を渡すとき、classic token の スコープ(全プライベートレポへのフルアクセス)をうっかり使っていないか。2026 年現在の正解は fine-grained PAT で必要最小限のリポジトリと最小権限。本稿は公式ドキュメ…
#セキュリティ♥ 0 · 💬 0
AI コーディング時の secrets 漏洩を止める — Gitleaks と TruffleHog の役割分担
Claude Code がコードを書く時代、最も怖いのは「AI がうっかり API キーを記事や PR に貼る」事故。事前検知に有効なのが Gitleaks と TruffleHog で、合計 5.1 万 GitHub stars の業界標準ツール。本稿は両者の違いと、「pre-…
#セキュリティ♥ 0 · 💬 0
Claude Code の .claudeignore は存在しない — ignore メカニズムを正しく理解する
のノリで を書いて秘密情報を保護した気になっていないか。 は Claude Code の公式機能ではない(2026 年 5 月時点)。本稿は公式 Issue・The Register 報道を元に、Claude Code の ignore メカニズムの実態と、現実的に「読ませない」…
#セキュリティ♥ 0 · 💬 0
Claude Code に .env を読ませない — deny permissions の現実とフックでの実効的対策
Claude Code の で permissions を書けば を保護できる、と思っているなら危険。Anthropic 公式リポジトリには 2026 年に入っても deny ルールが Read/Bash で正しく強制されないバグ報告が複数残っており、The Register も…
#セキュリティ♥ 0 · 💬 0