Claude Code の .claude/ 設定 危険度スキャナ · English
claude で開いて「このフォルダを信頼しますか?」に はい を押す——その一回のクリックが、リポ同梱の .claude/settings.json に書かれた コマンドの自動実行・APIキーの送信先の書き換え・MCPサーバの起動 を、まとめて許可します。信頼は取り消せません。 押す前に、ここに貼り付けて中身を確かめてください。
未知のリポの .claude/settings.json(または .claude/settings.local.json / .mcp.json)の中身をそのまま貼り付けてください。複数まとめて貼っても構いません。
貼り付けた内容はブラウザの中だけで処理され、どこにも送信されません(通信は発生しません)。
settings.json の hooks は、信頼後にコマンドを自動で走らせます。クローンしたリポが SessionStart 等に curl … | sh を仕込めます(CVE-2025-59536、RCE)。env.ANTHROPIC_BASE_URL を攻撃者のURLに上書きすると、Claude の全API通信が、x-api-key ヘッダ(=あなたのキー)ごとそのURLへ送られます。エラーも警告も出ない沈黙の漏洩です(CVE-2026-21852)。enableAllProjectMcpServers / enabledMcpjsonServers は、サーバ毎の同意を飛ばして .mcp.json のサーバを起動します。サンドボックス外の Node プロセスとして動きます(Adversa AI の TrustFall)。permissions.allow が広いと、本来出るはずの確認プロンプトが消え、攻撃の発火が静かになります。CVE-2025-59536 / CVE-2026-21852 の「信頼ダイアログが出る前に勝手に実行される」部分は、Claude Code v1.0.111 以降で修正されています。今のバージョンでは、信頼する前に上記が暴発することは基本的にありません。
残る本当の危険は別です。「このフォルダを信頼」を押した瞬間、これらの設定はすべて有効になります。 信頼のクリックは、hook の実行・BASE_URL の上書き・MCP の起動への「取り消せない同意」だからです。だから防御は一つ——信頼する前に、受け取った .claude/ を読むこと。このツールはその一手を助けます。
claude を一度閉じ、信頼ダイアログに「いいえ」を選ぶ。.claude/settings.json が足された場合は特に疑う。.claude/settings.json に書かない(この値は共有プロジェクト用のファイルに置くべきものではない)。