ITmediaの記事「Claude拡張機能にCVSS10.0の脆弱性 現在も未修正のため注意」によると、LayerX Securityは2026年2月9日(現地時間)、Anthropicが提供する「Claude Desktop Extensions」(以下、DXT)にゼロクリック型のリモートコード実行(RCE)の脆弱性が存在すると報告しました。

Zero-Click RCE Vulnerability in Claude Desktop Extensions Exposes 10,000+ Users というLayerXの評価は、以下の通り極めて深刻なものです。

  • 攻撃難易度:最低
  • 認証:不要
  • 影響範囲:完全破壊
  • 回避策:なし
  • 権限:完全奪取
  • 即時性:ネットワーク経由で即時悪用可能

これらはCVSSスコア 10.0 という、セキュリティ脆弱性評価における最悪のレベルを示しています。

1990年代、ActiveXは「便利さのために権限を渡しすぎた」ことでインターネットを危険地帯に変えました。2020年代、AIエージェントは同じ構造を、より強力かつ危険な形で再現しつつあります。今回のClaude DXTの脆弱性は、まさにその象徴と言えるでしょう。

権限管理と「承認疲弊」の歴史

歴史を振り返ると、テクノロジーの進化と共に「便利さとセキュリティのトレードオフ」が繰り返されてきたことがわかります。AIエージェントの問題は、過去の失敗の延長線上にあります。

1. ActiveX(1996〜)

ブラウザにOSレベルの“ネイティブ権限”を渡す仕組みでした。「便利だから」という理由で広い権限が許可され、ユーザーは承認ダイアログに疲弊し、最終的にすべてを許可するようになりました。結果として、ActiveXはマルウェアの温床となりました。

  • 構造:不信頼入力 → 高権限コード実行

2. ブラウザ拡張(2000年代)

ブラウザ拡張機能がファイルやネットワークへアクセスできるようになりましたが、権限の粒度が粗く、ユーザーが承認画面を精読することはありませんでした。

  • 構造:利便性のために権限境界が崩壊

3. モバイルアプリ権限(2010年代)

「このアプリは連絡先・カメラ・位置情報にアクセスします」という承認フローが定着しましたが、形骸化しました。ユーザーはアプリを使いたいがために、無意識に「許可」を押すようになり、結果として個人情報の大量漏洩を招きました。

  • 構造:承認疲弊による“儀式化した許可”

4. AIエージェント(2020年代〜)

そして現在、AIエージェントはカレンダー、メール、Webといった「不信頼な入力」を読み込み、LLMが解釈して行動に変換します。権限はブラウザ、ファイル操作、API実行と多岐にわたります。

  • 構造:不信頼入力 → LLMによる解釈 → 高権限アクション

ActiveXの再来、しかしより危険な理由

DXTは構造的に「ActiveXのAI版」と言えます。不信頼なWebページ(入力)から、高権限コードの実行につながり、ユーザーの承認プロセスが機能しない点において、両者は共通しています。

しかし、決定的な違いがあります。それは攻撃ベクトルが 「コード」ではなく「自然言語(文章)」 であるという点です。

攻撃に「技術力」が不要になった

かつてのActiveX時代、攻撃を実行するには最低限の技術力が必要でした。

  • COMオブジェクトやOS権限モデルの理解
  • JavaScriptやVBScriptのコーディングスキル

つまり、攻撃者は「技術者」である必要があり、攻撃のコストと敷居はそれなりに高いものでした。

一方、AI時代の攻撃(今回のDXT脆弱性など)は、その敷居を劇的に下げています。

  • カレンダーは外部から汚染されやすい(ICSファイルは誰でも送付可能)
  • メールから予定が自動生成される
  • 共有カレンダーには誰でも書き込める

攻撃者は「カレンダーの予定に文章を書く」だけでAIを乗っ取ることが可能です。コーディングも、AIの専門知識も、LLMの深い理解も必要ありません。必要なのは 「文章を書く能力」 だけです。

脆弱性の質的変化

今回の事例と、従来の脆弱性を比較すると、その性質の違いが浮き彫りになります。

比較項目OpenClaw (CVE-2026-25253)Claude DXT (LayerX報告)
攻撃のきっかけ悪意あるリンクのクリック(1-Click)カレンダーの予定(0-Click)
主な悪用経路WebSocket/Authトークン奪取MCPコネクター間の権限連鎖
AIの役割攻撃の足場として利用されるAI自らが「良かれと思って」攻撃を実行
深刻度の性質「実装のバグ」による脆弱性「AIエージェントの仕様」による構造的欠陥

結論:崩壊する「ユーザー承認」という防壁

かつてのActiveXやモバイルアプリがそうであったように、AIエージェントもまた「ユーザーの承認」を安全の最後の砦にしようとしています。

しかし、絶え間ない確認ダイアログはユーザーを疲弊させ、思考停止のクリックを誘発します。AIが自律的に動き、複雑なタスクをこなすようになればなるほど、人間はただの「承認ボタンを押すだけのマシーン」になり下がり、実質的なセキュリティ境界は消滅します。

今回の脆弱性は、AIエージェントのセキュリティモデルが根本的な見直しを迫られていることを示唆しています。