← CC Safety Lab 無料公開 — 9月号の冒頭の章の全文
本頁の本文は9月1日配信の9月号からの抜粋で、 改編はしていません。 メタ起票 #30519 (71反応) と #39523 (16反応) の状態は2026年5月31日の段で OPEN の合図の継続中、 公式の修正の応答は2025年9月の暫定の案内のコメント1件のみで、 その後の応答なし。
3つの典型の症状で利用者の側に表面化します。 内部の原因は7軸の独立な失敗の様式のどれかですが、 症状の表面からは区別がつきません。
1つめは「Always Allow を押したのに、 翌日も同じ命令で確認の窓が出る」。 2つめは「Bash(git:*) のルールがあるのに、 git add && git commit の複合の命令で確認の窓が出る」。 3つめは「--dangerously-skip-permissions を有効にしたのに、 Edit の確認の窓や Cowork の予定の作業の確認の窓は出る」。
3つの症状はすべて、 公式の権限の照合の仕組みの7つの独立な失敗の様式の表面の側に出るもの。 30以上の起票が9ヶ月以上の継続で立ち、 累計の反応は約804件。 公式の対応はメタ起票で「1件の暫定の案内のコメント (2025年9月)、 その後の応答なし」 と整理されています。
メタ起票 #30519 (71反応、 2026年3月3日に提出) が整理した7軸の分類のうち、 本頁では冒頭の3軸を articulate します (残る4軸の articulate と各々の対応の経路は本号の続きの章)。
* の指定が複合の命令と不一致
Bash(git:*) は git add file && git commit -m "msg" と照合しません。 * は単一の単純な命令の中だけで動作します。 Claude Code は複合の命令を頻繁に生成するため、 * の指定は実機で使い物にならない経路。 起票 #28240 (180反応、 2026年2月22日) と起票 #32985 (24反応、 2026年3月) で「cd+git の複合の命令の自動の承認」 の要望の累計204反応の集積。
git commit -m "fix typo" で Always Allow を選択すると、 その文字列の全体 (命令の本文と commit message の全部) が保存されます。 次回の git commit -m "different message" とは照合しません。 settings.local.json が時間とともに数百件の使い捨ての文字列で膨張する経路。 起票 #11380 (64反応、 2025年11月、 closed の状態だが症状は継続中) と起票 #6850 (45反応、 2025年8月) の累計109件以上の反応の集積。
~/.claude/settings.json のルールが /permissions の表示には出ますが、 何にも照合しません。 project の側の settings.local.json では同じルールが機能します。 誤りも警告も出ず、 黙って無効の状態で進行する経路。 起票 #18160 (41反応、 2026年1月) と起票 #5140 (33反応、 2025年8月) の累計74件以上の反応の集積。
残る4軸 (第4: 引用符の追跡が allow を回避、 第5: deny のルールも同じ欠陥、 第6: コロンと空白の構文の矛盾、 第7: --dangerously-skip-permissions の部分的な不動作) の深掘りと各々の対応の経路は本号の続きの章で articulate します。
30以上の起票で、 累計の反応は約804件。 累計の反応の上位の起票から並べた集積の表 (上位10件)。
bash の cd で誤って発火、 実際の命令ではなく--dangerously-skip-permissions を尊重しない--dangerously-skip-permissions が v2.1.77 より新しい全部の版で動作しないautoAllowBashIfSandboxed が shell の展開を含む命令で回避されるsettings.local.json の allow が機能しない、 既存の項目の再追加を要求settings.json の allow の権限を無視settings.json から project の側で適用されない5件の起票が closed の状態ですが、 症状は follow-up の起票で継続中。 メタ起票 #30519 (71反応) と #39523 (16反応、 9ヶ月の累計の articulate) の状態は2026年5月31日の段で OPEN の合図の継続中。
公式の照合の仕組みの修正がまだない現状で、 利用者の側の選択肢は3件のみ。 3件のすべてに構造的な欠陥があり、 利用者の側は「どの欠陥を許容するか」 の判断を強いられる状態です。
これは権限の存在意義を消す経路。 利用者の側が配置した allow と deny のルールの整理の崩壊。 安全の制約が実機で機能しなくなる経路で、 最悪の事案は意図しない破壊的な命令の自動の実行。
--dangerously-skip-permissions を有効にする
deny のルールを含めて全部を無効化する経路。 利用者が「絶対にやってはいけない」 と整理した命令も、 黙って実行する状態。 加えて、 第7の様式で部分的に動作しない状態が継続中 (Edit、 Cowork、 mobile Remote Control、 v2.1.77以降の regression)。 「全部を無効化したつもりが、 一部は依然として確認の窓が出る」 という二重の欠陥。
PreToolUse の hook を書いて、 権限の照合を再実装する
起票 #18846 で整理されているように、 community が実機で採用している経路。 ただし、 これは「公式の system が機能しないため、 利用者の側で安全の subsystem を再構築する」 状態。 community が書いた単独の hook の利用は、 安全の検査、 試験、 敵対的な入力への正しさの保証なしの状況での運用。
3件のすべてに欠陥があるという articulate そのものが、 9ヶ月以上の継続の集積の中で公式の対応がない事実の意味です。 続きの章では、 第3の選択肢の経路を「community の単独の hook」 ではなく「試験ありの hook の library の利用」 として整備する経路の articulate と、 そのための4件の防衛の hook の取り込みの予定を articulate します。
cc-safe-setup の hook の library から、 第3の選択肢の安全の整備の経路として、 4件の hook の予定。 2026年5月27日の段で2件が取り込み済、 残る2件は設計の中の状態。
always-allow-pattern-suggester.sh出荷済
第2の様式 (Always Allow が無効なルールを保存) の対応。 PreToolUse の Bash の hook で、 命令が確認の窓を発火する時に、 利用者が "Always Allow" で文字通りの命令の文字列を保存する代わりに、 推奨の * の整理された pattern を stderr の advisory に articulate。 hook は常に exit 0 で blocking しない様式 (利用者が判断を残す経路)。 取り込みの依頼 #359、 5/27 02:43 JST 取り込み完了、 42件の試験で全件で通過。
bypass-mode-effective-verifier.sh出荷済
第7の様式 (--dangerously-skip-permissions の部分的な不動作) の対応。 SessionStart の hook で、 bypass が active の時に、 実際にカバーしない4件の表面 (Edit の tool、 Cowork scheduled tasks、 Mobile Remote Control、 v2.1.77以降の regression) を stderr の advisory に articulate。 取り込みの依頼 #360、 5/27 02:53 JST 取り込み完了。 累計の対応の起票は #29214 (71反応) と #36168 (63反応) と #47180 (23反応) の累計157件以上の反応の集積。
compound-bash-permission-resolver.sh設計中
第1の様式 (* の複合の命令の不一致) の対応。 PreToolUse の Bash の hook で、 複合の命令を shell の解析のルールで読み取り、 &&、 ||、 ;、 パイプの境界で分割、 各部分を allow の patterns で個別に照合。 enforcement の様式 (decision の経路を変える) のため、 取り込みの前により高い threat model の articulate が必要。 取り込みは2026年5月から6月の予定。
deny-rule-integrity-verifier.sh設計中
第5の様式 (deny のルールも同じ欠陥) の対応。 受け取った命令を正規化 (引数の標準の順序、 1行の表現、 安全な shell の置換の展開) してから deny の patterns と比較。 多行と引数の入れ替えの回避の様式の捕捉が主目的。 enforcement の様式のため、 取り込みの前に threat model の articulate が必要。 取り込みは2026年5月から6月の予定。
2件の出荷済の hook は両方とも "advisory" の様式 (decision の経路を変えない、 情報の articulate のみ追加する) の構造です。 これは security-relevant な subsystem (permissions) で安全に取り込み可能な最強の様式で、 hook の誤りの場合の最悪の事案は誤解を招く stderr の articulate のみで、 security regression にはなりません。
9月号の続きの章 (約24,000字) の購入の経路は、 月額¥500 の Founder Membership の経路で、 9月号と以降の毎月の届け物の経路。 Founder 価格は永久固定で、 後で枠の値段を上げる時も Founder の方々は¥500 のまま。
9月号の続きの章では、 残る4軸の失敗の様式 (第4から第7) の深掘りと25件の起票の集積の全件の表、 4件の防衛の hook の取り込み済の2件の ~/.claude/settings.json の articulate の例 (3件の環境変数 CC_PATTERN_SUGGESTER_DISABLE 等の整理)、 残る2件の hook (compound-bash と deny-rule-integrity) の設計の中身と threat model の articulate、 警告の発火の後の即座の対応の4手順、 設定の点検の月次の作業の4軸の予防の整備が届きます。
10月号以降の主題の予告 (利用方針の判別の異常、 道具の呼び出しの解析の失敗、 静かなデータの消失、 認証の沈黙の失敗など) は 商品の頁 で公開済です (9ヶ月分の runway)。