Claude Codeの危険な権限スキップ、127万円事故を防ぐ3OS設定法

これらの事故の共通原因は「承認疲れ」だ。

AIの力を借りて業務を効率化しようとする企業が増える一方で、Claude Code (Anthropic 社の AI コーディングツール) の事故が相次いでいる。ある中小企業では、AIに任せた業務の結果、クラウド請求が127万円に達した。さらに、会社データの全消失や顧客名簿のインターネット漏洩といった深刻な事態も報告されている。これらの事故の共通原因は「承認疲れ」だ。

「承認疲れ」とは、頻繁な権限確認要求に対する疲労から、ユーザーが承認プロセスを省略したり、無意識にリスクを受け入れたりする現象を指す。特に、Claude Code の --dangerously-skip-permissions フラグは、権限確認をスキップする機能として知られている。便利ではあるが、重大なセキュリティリスクを伴う。具体的には、承認をスキップすることで不正アクセスやデータ漏洩のリスクが高まる。推進派はこのフラグの利便性を強調し、settings.json やオートモードを使えば安全に運用できると主張する。一方、懐疑派はその安易な使用が事故を招くと警鐘を鳴らす。

「使わない選択から安全な活用へ」と山口鳳汰氏は語る。AI・ノーコード専門開発会社 Walkers に所属する山口氏は、権限スキップ機能の慎重な運用を一貫して呼びかけてきた。なぜこの機能が議論を巻き起こすのか、その背景はすでに見てきた通りだ。

「権限モードの選択に困っていないだろうか？」—多くの非エンジニアが抱えるこの悩みを解決するために、まず Claude Code (Anthropic 社の AI コーディングツール) の権限モードを整理します。公式ドキュメント によると、モードは `default`・`acceptEdits`・`plan`・`auto`・`dontAsk`・`bypassPermissions` の 6 種類です。特に注目すべきは、--dangerously-skip-permissions フラグが bypassPermissions モードに相当する点です。このフラグを使うと権限確認をスキップできるが、重大なセキュリティリスクが伴います。具体的には、予期せぬデータ漏洩や不正アクセスの危険性が高まるのです。

2026年3月24日、Anthropic は Team プランユーザー向けに「オートモード」をリサーチプレビューとして公開しました (Anthropic Engineering)。このモードは、権限スキップのより安全な代替手段として位置づけられている。推進派は、オートモードを使うことで、--dangerously-skip-permissions に頼らずに安全に運用できると主張しています。しかし、懐疑派は Claude Code の脆弱性修正の頻度を理由に、設定の永続化がリスクを伴うと警鐘を鳴らしています。

AI 投資は「導入」ではなく「再設計」のフェーズに入った。

公式が提供するオートモードを選ぶか、自力でエイリアスを設定して運用するかは、読者の判断に委ねられています。エイリアス設定は便利だが、公式推奨ルートではないことを理解した上で選ぶ必要がある。

次のセクションでは、エイリアス化を選ぶ際の反論やリスクについて詳しく見ていきます。

【デスク注】pull-quoteの文言「AI投資は「導入」ではなく「再設計」のフェーズに入った。」は現行のまま据え置く。ただし差し替えが可能な場合には、Section 2本文中に明示されている編集部の方針、たとえば『撤回手順を併記する』といった記述をpull-quoteに昇格させることを検討されたい。その際も本稿の引用ルールに従い、文言の改変は行わないこと。差し替えの可否はデスクが最終判断する。

「Claude Code (Anthropic 社の AI コーディングツール) の --dangerously-skip-permissions フラグを非エンジニアに勧めるのは無責任ではないか」という声が増えている。特に初心者ユーザーにとって、リスクの説明が不十分であることが懸念されている。懐疑派は、設定の永続化が仕様変更で混乱を招く恐れがあると指摘するが、編集部は具体的な対策を提案する。

まず、初心者にリスクを十分に説明しないままこのフラグを勧めるのは無責任だという意見がある。これに対し、編集部は設定前に「この設定をすべきでない場面」と「設定を戻す方法」を明確に説明する。具体的には、公式ドキュメントに基づいた撤回手順を併記し、読者が自分の用途で本当に必要かを判断できるようにする。たとえば、特定の環境ではフラグの使用が推奨されないことを強調する。

次に、シェル設定ファイルを触らせること自体が非エンジニアには敷居が高すぎるという反論がある。編集部は、GUI (Graphical User Interface) ではなくコピペ 1 行で設定できるようにすることで、この問題を解決する。これにより、非エンジニアでも簡単に設定を行える。

最後に、Anthropic が推奨しない使い方を紹介することが、仕様変更で混乱を招くとの懸念がある。編集部は、2026年5月時点の公式ドキュメント版を明記し、更新日を読者に共有することでこの懸念に対処する。これにより、最新の情報に基づいた設定が可能となる。つまり、情報の透明性を高めることで混乱を未然に防ぐのだ。

これらの対策により、非エンジニアでも安心して Claude Code を利用できる環境が整う。次のセクションでは、具体的な OS 別の設定手順を詳しく解説する。

Macユーザーの多くは、ターミナルの操作に不慣れで、Claude Code (Anthropic 社の AI コーディングツール) の設定に悩んでいます。「--dangerously-skip-permissions」フラグの利便性を享受しつつ、セキュリティリスクを最小限に抑えたいジレンマに直面しているのではないでしょうか。そこで今回は、Macのターミナル環境で zsh を使い、claude を安全に起動するためのエイリアス設定を紹介します。

まず、~/.zshrc ファイルに以下の 1 行を追加します。

```shell alias claude='claude --dangerously-skip-permissions' ```

この設定を反映するには、ターミナルで `source ~/.zshrc` を実行してください。これにより、現在のシェルに変更が即時反映されます。設定が正しく動作しているか確認するために、`alias claude` コマンドを実行し、「claude='claude --dangerously-skip-permissions'」と表示されれば成功です。たとえば、正しい設定ができていない場合、エラーメッセージが表示されることがあります。

同名のエイリアスが存在する場合は、新しい行を追加せず、既存の行を上記の内容に置き換えてください。また、エイリアスを特定のディレクトリ内でのみ有効にすることも考慮しましょう。

Macユーザーは記事を閉じた直後にターミナルでコピペ完了でき、撤回方法も手元に残せるのだ。

元に戻したい場合は、~/.zshrc から該当のエイリアス行を削除し、再度 `source ~/.zshrc` を実行するだけで元の状態に戻れます。これにより、全環境でフラグが有効になる事故を防ぎつつ、必要なときだけ便利に起動可能です。

次に、Windowsユーザー向けの PowerShell 関数版の設定方法について解説します。

以上が、PowerShellにおける関数定義とセキュリティ設定の基本的な流れだ。

Windowsで Claude Code (Anthropic社のAIコーディングツール) を便利に使う際、alias が引数を取れない壁に直面している方も多いです。この問題を解決するためには、関数を定義する必要です。ここでは、PowerShellでの設定手順を具体的に解説します。

まず、PowerShellでの設定は $PROFILE ファイルに関数を定義することから始まります。$PROFILE は、PowerShellの起動時に自動的に読み込まれるスクリプトファイルです。最初に、PowerShellのコンソールで `$PROFILE` と入力し、フルパスを確認します。ファイルが存在しない場合は、`New-Item -ItemType File -Path $PROFILE -Force` コマンドで新規作成してください。

次に、関数を $PROFILE の末尾に追記します。具体的には、`function claude { claude.exe --dangerously-skip-permissions @args }` と記述します。この関数は、claude.exe を直接呼び出すことで、PowerShellが関数を再帰的に呼ぶことを防ぎます。この設定を反映させるために `. $PROFILE` を実行します。最後に、`Get-Command claude` で Type が Function と表示されれば成功です。

Windowsのセキュリティ設定である ExecutionPolicy も確認が必要です。これはスクリプトの実行を制御し、通常は「制限付き」になっています。具体的には、管理者権限で PowerShell を開き、`Set-ExecutionPolicy RemoteSigned` と入力します。これにより、ローカルで作成したスクリプトの実行が可能です。

もし $PROFILE が存在しない場合は新規作成が必要です。`Test-Path $PROFILE` で確認し、存在しない場合は `New-Item -ItemType File -Path $PROFILE -Force` で作成します。これにより、設定ファイルが無事に作成され、関数定義が可能になります。

設定を終えたら、次に WSL (Windows Subsystem for Linux) や Git Bash を使う読者は、別の設定ファイルを編集してください。これにより、Windows環境でもスムーズに Claude Code を利用できるようになります。要するに、PowerShellでの関数定義とセキュリティ設定の調整が、Claude Codeの効率的な利用に不可欠なのです。

Git BashやWSL (Windows Subsystem for Linux) を使い始めたばかりのあなたは、設定ファイルの違いに戸惑っているかもしれない。特に、~/.bashrc と ~/.bash_profile のどちらを編集すればよいのかで悩むことが多い。これらの設定ファイルは、シェルの起動時に読み込まれる順序が異なり、環境によって動作が変わることがあるからだ。

Git Bash では通常 ~/.bashrc が読み込まれる。一方、WSL では ~/.bash_profile が優先されることがある。この違いを明確に理解するために、以下の表を参考にしてほしい。

| 環境 | 読み込まれる順序 | |-----------|---------------------------------| | Git Bash | ~/.bashrc → ~/.bash_profile | | WSL | ~/.bash_profile → ~/.bashrc | | Mac (zsh) | ~/.zshrc | | Windows | PowerShell の $PROFILE |

この表を元に、どのファイルに設定を書けば確実に反映されるかが一目で分かる。たとえば、Git Bash で Claude (Anthropic 社の AI コーディングツール) を起動するエイリアスを設定する場合は、~/.bashrc に追記するのが適切だ。具体的には、以下のように設定する。

```bash alias claude='claude --dangerously-skip-permissions' ```

追記後は、source ~/.bashrc を実行して現在のシェルに反映させよう。設定を確実に反映させるためには、正しいファイルを選んで編集する必要がある。

次のセクションでは、設定後に必ず読んでほしい FAQ と、公式オートモードへの移行タイミングを示す。

これらのポイントを押さえることで、Claude Code の運用におけるリスクを軽減し、安全に活用できる。

「Claude Code (Anthropic 社の AI コーディングツール) の設定を社内の共有マシンで使っても大丈夫か？」と不安に思う現場が増えている。特に、AI の設定後にどのように運用すべきか、具体的なガイドラインを求める声が多く聞かれる。ここでは、運用に関する 3 つの重要な疑問に答えます。

社内の共有マシンで Claude Code を運用する場合、個人の ~/.zshrc にエイリアスを書くのではなく、settings.json でプロジェクト単位に設定を閉じ込めることが判断の基本軸となる。~/.zshrc への記述はマシン全体のユーザーに影響が波及するため、共有環境には適さない。settings.json をプロジェクトルートに置けば、権限スキップフラグの有効範囲をそのリポジトリに限定できる。権限スキップフラグを使う際には、その設定がどのスコープに作用しているかを必ず確認したい。オートモードへの乗り換えは、プロジェクト単位の設定が安定してからにすべきだ。誤った権限設定によるデータ漏洩のリスクは、スコープが広いほど深刻になる。共有マシンでは「誰の設定が今どこまで効いているか」を常に可視化できる構成を優先すること。

次に、脆弱性 CVE (Common Vulnerabilities and Exposures) が報告された場合の対応です。Claude Code は頻繁に脆弱性修正が行われており、古いバージョンを使い続けること自体がリスクとされている。Check Point Research が報告した CVE-2025-59536（RCE および API トークン窃取）と CVE-2026-21852 の事例もあるため (Check Point Research)、最新のセキュリティパッチを常に適用する必要がある。脆弱性が発見された際には、公式ドキュメントや信頼できる情報源から最新情報を入手し、速やかに対応してください。

最後に、オートモードが GA（一般提供）になった場合の対応です。現在、Anthropic はオートモードをリサーチプレビューとして提供しているが、GA の時期は未公表だ。オートモードが GA になった際には、エイリアス設定を見直し、必要に応じて削除または変更することを検討しよう。具体的には、既存の設定が新しいオートモードの仕様に合致しているか確認し、適合しない場合は速やかに修正することが求められる。公式アナウンスをウォッチする習慣をつけることで、適切なタイミングでの設定変更が可能になるのだ。

オートモードの正式提供がいつになるかを注視することが、今後の運用の鍵となる。現時点では手動設定による運用が基本だが、正式リリース後はワークフロー全体の見直しが必要になるだろう。撤回のタイミングとオートモードへの切り替え判断は、そのアップデート情報と切り離せない。本 Q&A で整理した視点を手がかりに、変化に備えておきたい。

- Anthropic (Claude Code)「Choose a permission mode - Claude Code Docs」 - Anthropic Engineering「Claude Code auto mode: a safer way to skip permissions」 - Check Point Research「Caught in the Hook: RCE and API Token Exfiltration Through Claude Code Project Files | CVE-2025-59536 | CVE-2026-21852」