Claude実践大全 第16章:実行リスクと隔離――「動くAI」を安全に運用する勘どころ

本記事は、『Claude実践大全:Chat・Cowork・Codeで「動くAI」を仕事に組み込む技術』を1章ずつ紹介するシリーズの第16回です。各記事では1つの章のエッセンスをダイジェストでお届けします。

会話するだけのAIなら、最悪でも「ちょっと変な回答」が返ってくるだけです。ところが、コマンドを実行し、ファイルを操作し、外部サービスとつながる「動くAI」になった途端、話はまるで違ってきます。重要データの削除、認証情報の漏洩、設定の改変、高額処理の発動――現実の損害が起こりうるのです。

第16章は、この「実行リスク」と正面から向き合う章です。便利さの裏にある危うさを直視し、それをどう隔離し、どう抑え込むか。本番でAIを安全に走らせるための土台を固めます。

脅威は4種類に分けて考える

本章はまず、実行リスクを整理することから始めます。代表的なのは、ユーザー入力やWebコンテンツが実行コマンドに紛れ込むコマンドインジェクション、重要ファイルの削除や設定改変といったファイルシステム関連のリスク、APIキーなどを意図せず露出するデータ漏洩、そして文書やWebに命令を埋め込んでAIを操るプロンプトインジェクションの4つ。それぞれが「どんな条件で顕在化するか」を知ることが、安全運用の出発点になります。

CodeとCoworkで脅威の輪郭は違う

Claude CodeとCoworkでは、実行モデルの根幹が異なります。Code CLIはユーザーのマシン上で、本人の権限のもとで動きます。ローカルで統制されており、被害は「手作業でも起こしうる範囲」に収まります。一方Coworkは、Anthropicが管理するサンドボックス化されたコンテナ上で動作します。隔離による保護がある反面、実行環境の複雑さやサンドボックスエスケープのリスクは、きちんと理解して管理する必要があります。同じ「動くAI」でも、守り方の設計図は変わってくるのです。

文字列連結でコマンドを組むな

「file.txt を一覧表示して。ついでに rm -rf / も」――こんな入力を素朴に文字列連結でシェルに渡すと、危険なコマンドがそのまま走ってしまいます。Webページに隠し命令が仕込まれていれば、攻撃面はさらに広がります。本章が示す対策の第一歩は明快です。引数を配列として独立に渡す実行APIを使うこと。こうすれば、ファイル名にメタ文字が混ざっていても、シェルに解釈されず「データ」として扱われます。あわせて入力検証、狭く絞ったツール設計、そして承認ワークフローを重ねていきます。

取り返しのつかない「削除」への備え

ファイル削除が怖いのは、しばしば不可逆だからです。パスの取り違え、広すぎる glob パターン、本番とステージングの混同――AIが重要ファイルを消す理由はいくつもあります。本章は、破壊的操作をデフォルトで無効にする、即削除ではなくタイムスタンプ付きで隔離するソフトデリート、削除前の明示的確認、網羅的な監査ログ、そして削除前検証といった多段の守りを提示します。「7日間の猶予」があるだけで、救えるデータはぐっと増えます。

Coworkの境界とデータ漏洩

Coworkでは、ユーザーが選んだディレクトリがAIから見たファイルシステムのルートになります。その外には触れられません。ただしスコープは広く取れてしまうため、安易に /home/user を許可すれば、SSHキーや認証情報ファイルまで射程に入ります。最も制限的な範囲を選ぶのが鉄則です。さらに本章は、.env ファイルの中身を親切に答えてしまうようなデータ漏洩に対し、シークレットの伏字化、機密ファイルへのアクセス制限、最小権限の一時認証情報といった対策を、OS・アプリ・監査の各層で重ねる多層防御として描き出します。

この章で得られること

• 実行リスクを4種類に整理し、顕在化する条件を見抜く視点
• コマンドインジェクションを根本から断つ実装の考え方
• 不可逆な削除を防ぐソフトデリートと多段の検証
• Coworkサンドボックスの「できること・できないこと」の正確な理解
• OS・アプリ・監査を貫く多層防御でデータ漏洩を抑える設計

本章を読み終えるころには、「便利だから使う」から「安全に設計して使う」へと、AI運用の構えが一段引き上がっているはずです。具体的なコード例や対策の全体像は、ぜひ本書でご確認ください。

次回:第17章「ガードレールとガバナンス」。リスクを抑える仕組みを、組織として回し続けるための統制へと話を進めます。