منصة المراقبة الأمنية GoPlus أطلقت في 27 مارس إنذارًا عالي الخطورة، مشيرةً إلى وجود ثغرة حقن Prompt عالية الخطورة في إضافة متصفح Anthropic Claude Chrome، تؤثر على عمليات التثبيت لأقل من الإصدار 1.0.41، وتغطي مستخدمين يزيد عددهم عن 3 ملايين. يمكن للمهاجمين قراءة ملفات Google Drive، وسرقة رموز الأعمال (Business Token)، وإرسال رسائل بريد إلكتروني باسم المستخدم.
مبدأ عمل الثغرة: ضعفان يتكاتفان لتشكيل سلسلة هجوم كاملة
تتكون هذه الثغرة من مسار هجوم عالي الخطورة ناتج عن دمج عيبين أمنيين مستقلين.
أول ضعف: آلية تمرير الرسائل في نطاقات فرعية واسعة جدًا تثق بها إضافة Claude Chrome تسمح بالأوامر القادمة من جميع نطاقات *.claude.ai الفرعية بالمرور؛ إذ يمكن لنوع رسالة onboarding_task أن يقبل Prompt خارجيًا مباشرةً ويتم تمريره إلى Claude للتنفيذ، دون إعداد تحقق أدق للمصدر.
الضعف الثاني: ثغرة DOM-based XSS في مكوّن التحقق من Arkose Labs تستخدم Anthropic مزودًا تابعًا لجهة خارجية لرموز التحقق CAPTCHA من Arkose Labs، حيث يتم استضافة مكوّن CAPTCHA على a-cdn.claude.ai—وهو نطاق فرعي ضمن نطاق الثقة الخاص بـ *.claude.ai. اكتشف باحثون أمنيون ثغرة DOM-based XSS في نسخة أقدم من مكوّن CAPTCHA: إذ لا يقوم المكوّن أبدًا بالتحقق من هوية المُرسل عند استقبال رسائل خارجية (لا يتحقق من event.origin)، كما يقوم بعرض سلاسل نصية يمكن للمستخدم التحكم بها مباشرةً كـ HTML دون إجراء أي عملية تنظيف.
سلسلة الهجوم الكاملة: يقوم الضحية بزيارة صفحة ويب خبيثة → تحميل Arkose iframe الذي يحتوي على ثغرة XSS بشكل صامت في الخلفية → حقن حمولة خبيثة (Payload) للتنفيذ داخل نطاق a-cdn.claude.ai → استغلال قائمة السماح الخاصة بالنطاقات الفرعية الموثوقة لإرسال Prompt خبيث إلى إضافة Claude للتنفيذ التلقائي. تتم العملية بأكملها داخل iframe مخفي غير مرئي، ولا يملك الضحية أي وسيلة لمعرفة ذلك.
ماذا يمكن للمهاجم فعله: الاستيلاء الكامل على الحساب دون إحساس الضحية
بمجرد نجاح الهجوم، يمكن للمهاجم تنفيذ الإجراءات التالية على حساب الضحية، دون الحاجة إلى أي موافقة أو نقر من المستخدم طوال الوقت:
· سرقة رموز الوصول إلى Gmail (يمكنها الوصول المستمر إلى Gmail وجهات الاتصال)
· قراءة جميع الملفات الموجودة في Google Drive
· تصدير السجلات الكاملة للمحادثات في Claude
· إرسال رسائل بريد إلكتروني باسم الضحية
· إنشاء صفحة تبويب جديدة في الخلفية، وفتح الشريط الجانبي لـ Claude وتنفيذ أي أوامر
حالة الإصلاح وتوصيات الأمان
تم إكمال الإصلاح الشامل لهذه الثغرة: قامت Anthropic بإصلاح إضافة Claude Chrome في 15 يناير 2026، حيث لا يسمح الإصدار الجديد إلا بالطلبات الواردة من ؛ وقد قامت Arkose Labs بإصلاح ثغرة XSS في 19 فبراير 2026، مع إعادة اختبار شاملة في 24 فبراير 2026 للتأكيد على حل المشكلة. تهدف تنبيه GoPlus إلى تذكير المستخدمين الذين ما زالوا يستخدمون الإصدارات القديمة بالترقية في الوقت المناسب.
تقترح GoPlus توصيات أمان التالية: انتقل إلى chrome://extensions في متصفح Chrome، وابحث عن إجراء إضافة Claude، وتأكد أن رقم الإصدار هو 1.0.41 أو أعلى؛ انتبه لروابط التصيّد الاحتيالية القادمة من مصادر غير معروفة؛ يجب أن تتبع تطبيقات AI Agent مبدأ «أقل قدر من الصلاحيات»؛ وعند التعامل مع عمليات عالية الحساسية ينبغي إدخال آلية تأكيد ثانوي يدوي (Human-in-the-loop).
الأسئلة الشائعة
كيف أتأكد مما إذا كانت إضافة Claude Chrome الخاصة بي آمنة؟
اذهب إلى chrome://extensions في متصفح Chrome، وابحث عن إضافة Claude للتحقق من رقم الإصدار. إذا كان الإصدار 1.0.41 أو أعلى، فقد تم إصلاح الثغرة؛ وإذا كان أقل من 1.0.41، فيرجى التحديث فورًا أو إعادة تثبيت أحدث إصدار.
هل تحتاج هذه الثغرة إلى قيام المستخدم بالنقر يدويًا على رابط خبيث حتى يتم تفعيلها؟
لا. فقط بمجرد زيارة المستخدم لصفحة الويب الخبيثة يمكن تنفيذ الهجوم صامتًا في الخلفية دون أي نقر أو تفويض أو إجراءات تأكيد. تتم سلسلة الهجوم كاملة داخل iframe مخفي، ولا يستطيع الضحية ملاحظتها على الإطلاق.
لقد أكملت Anthropic الإصلاح، فلماذا ما زال يلزم التحديث؟
قد لا يقوم بعض المستخدمين بتفعيل التحديث التلقائي لإضافات المتصفح، مما يؤدي إلى استمرار استخدامهم لإصدار قديم أقل من 1.0.41. تهدف تنبيهات GoPlus إلى تذكير هذه الفئة من المستخدمين بالتحقق يدويًا من الإصدار والترقية يدويًا لضمان الأمان.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
RAVE تجتاح وتفجّر جنون العملات المقلّدة في السوق، بينما تكشف FF و INX أساليب «الضخّ ثمّ التفريغ»
أثارت العملات البديلة، التي يتصدرها مؤخرًا RAVE، موجة استثمار حماسية شديدة، لكن بعض المشاريع النجمية القديمة مثل FF و INX استغلت هذه الموجة لتنفيذ عمليات "رفع ثم تصريف"؛ عبر الرفع السريع لسعر العملة لجذب المستثمرين الأفراد للشراء، ثم القيام بعمليات بيع كبيرة لاحقًا، ما أدى إلى هبوط حاد وسريع في الأسعار. لا تكشف هذه الأفعال فقط عن ضائقة مالية لدى الجهة المطروحة للمشروع، بل إنها أيضًا تُلحق الضرر بثقة المستثمرين. يجب على المستثمرين الانتباه إلى إشارات مثل الارتفاع غير المعتاد على المدى القصير، لتجنب مخاطر التلاعب بالسوق.
MarketWhisperمنذ 3 س
عملت الشرطة الفيدرالية الأمريكية (FBI) واندونيسيا معًا على تعطيل شبكة تصيّد إلكتروني تابعة لـ W3LL، حيث تشمل القضية أموالًا بأكثر من 20 مليون دولار أمريكي
تعاون مكتب التحقيقات الفيدرالي الأمريكي والشرطة الإندونيسية بنجاح للإطاحة بشبكة تصيّد احتيالي من نوع W3LL عبر الإنترنت، حيث تم ضبط المعدات ذات الصلة واعتقال المشتبه بهم. يتم تقديم مجموعة أدوات تصيّد احتيالي من نوع W3LL بأسعار منخفضة لصفحات تسجيل دخول مزيفة، واستخدام هجمات الرجل-في-الوسط لتجاوز التحقق متعدد العوامل بسهولة، ما يكوّن نظامًا إجراميًا على الإنترنت منظّمًا. تشير هذه العملية إلى تعاون أمريكي-إندونيسي في إنفاذ مكافحة الجرائم الإلكترونية، غير أن تهديدات الأمان لا تزال جسيمة بالنسبة لمستخدمي العملات المشفّرة.
MarketWhisperمنذ 7 س
Squads تنبيه عاجل: تسميم عناوين وتزوير حسابات متعددة التوقيع، سيتم إطلاق آلية القائمة البيضاء
أطلقت مجموعة Squads الخاصة بـ Solana تحذيرًا في النظام البيئي، مشيرةً إلى أن المهاجمين شنّوا هجومًا على تلويث العناوين للمستخدمين من خلال إرسال عنوان مزيف وخداع المستخدمين لإجراء تحويلات غير مناسبة. أكدّت Squads عدم وقوع أي خسائر مالية، وشدّدت على أن هذا النوع من الهجوم يُعد هجومًا هندسيًا اجتماعيًا وليس ثغرة في البروتوكول. ولمواجهة ذلك، طبّقت Squads تدابير حماية مثل نظام تحذيرات وتنبيهات للحسابات غير المتفاعلة وآلية قوائم بيضاء. وتُبرز هذه الواقعة تزايد تهديدات الهندسة الاجتماعية في نظام Solana البيئي، كما أدّت إلى مراجعات أمنية مستمرة.
MarketWhisperمنذ 7 س
تقوم مؤسسة كورية جنوبية “الوسيط في الانتقام” بتلقي رسوم بعملة USDT للتوسط في الجرائم العنيفة، وبعد القبض على المتهم الرئيسي فإنها لا تزال تواصل العمل
ظهرت مؤخرًا في كوريا الجنوبية عدة جهات تُعرف باسم "وسطاء الانتقام" وتستخدم العملات المشفرة كوسيلة للدفع. وهي تقدم عبر Telegram خدمات التهديد والقتل. وعلى الرغم من اعتقال الجاني الرئيسي، لا تزال الإعلانات ذات الصلة تُنشر. وقد أجرت الشرطة تحقيقات في أكثر من 50 قضية واعتقلت حوالي 30 شخصًا.
GateNewsمنذ 9 س
تطبيق ليجر مزيف على متجر تطبيقات آبل يستنزف صندوق تقاعد الموسيقي الذي تبلغ قيمته 5.9 BTC
تطبيق Ledger مزيف على متجر تطبيقات Apple خدع الموسيقي Garrett Dutton ليخسر 5.9 BTC عن طريق إدخال عبارة الاسترداد (seed phrase) الخاصة به. تُبرز هذه القضية عمليات الاحتيال المستمرة المتعلقة بالمحافظ واستغلال الثقة، إذ تم غسل البيتكوين المسروق عبر KuCoin.
CryptoNewsFlashمنذ 13 س
مكتب صرف مركزي (CEX) يتعرض للابتزاز دون استسلام: يؤثر على نحو 2000 حساب، ولم تكن أموال العملاء في خطر
قامت إحدى بورصات العملات المشفرة بتعرضها للابتزاز من قبل منظمة إجرامية، حيث ادعت أنها ستقوم بنشر مقاطع فيديو تُظهر الوصول إلى الأنظمة الداخلية. أكدت البورصة عدم وقوع اختراق شامل للنظام، وأن أموال العملاء في أمان؛ إذ تم الوصول إلى بيانات قرابة 2000 حساب بسبب سلوك غير مناسب من موظفي خدمة العملاء، وقد تم إنهاء الأذونات ذات الصلة وتعزيز ضوابط الأمان. تعمل الشركة حاليًا بالتعاون مع جهات إنفاذ القانون للتحقيق.
GateNewsمنذ 16 س
