CC逆引きリファレンス

外部スクリプトの安全な実行

13. セキュリティリスク回避

コマンド / 機能

ダウンロード→確認→実行

概要

インターネットからダウンロードしたスクリプトを安全に実行するためのプラクティスです。

設定例

# 危険なパターン(避けるべき)
curl -sSL https://example.com/install.sh | bash

# 安全なパターン
# 1. まずダウンロードして保存
curl -sSL https://example.com/install.sh -o install.sh

# 2. 内容を確認
cat install.sh
# または Claude に確認を依頼
# 「このスクリプトの内容を確認して、安全か教えて」

# 3. 問題なければ実行
chmod +x install.sh
./install.sh

# settings.json でパイプ実行を禁止
{
  "permissions": {
    "deny": ["Bash(*| bash)", "Bash(*| sh)", "Bash(*| zsh)"]
  }
}

こんな時に使う

  • インターネットからのスクリプトを安全に実行したい時
  • curl | bash のようなパターンを安全にしたい時

使い方

  1. 1curl や wget でスクリプトをファイルに保存する
  2. 2保存したファイルの内容を確認する(cat、less、エディタで開く)
  3. 3Claude に「このスクリプトは安全か確認して」と依頼する
  4. 4内容に問題がなければ実行する

Tips

  • curl | bash は内容を確認できないため避ける
  • 公式サイト以外からのスクリプトは特に慎重に
  • スクリプトが何をダウンロード・実行するか確認
  • 不明なドメインへのアクセスがあれば警戒

同じカテゴリの記事

プロンプトインジェクション対策
提案されたコマンドを実行前に必ず確認
.env へのアクセスを禁止したい
"deny": ["Read(.env*)", "Edit(.env*)"]
秘密鍵を保護したい
"deny": ["Read(*.key)", "Read(~/.ssh/*)"]
rm -rf を禁止したい
"deny": ["Bash(rm -rf*)"]
force push を禁止したい
"deny": ["Bash(git push --force*)", "Bash(git push -f*)"]
サンドボックスを有効化したい
/sandbox または settings.json
前の記事
プロンプトインジェクション対策
次の記事
.env へのアクセスを禁止したい