كشفت مايكروسوفت عن ثغرة في «Claude Code» تسمح بسرقة بيانات الاعتماد

أفصحت أبحاث شركة Microsoft عن ثغرة في إجراء GitHub التابع لوكيل الذكاء الاصطناعي Claude Code لدى Anthropic، كانت تتيح للمهاجمين كشف بيانات اعتماد عبر هجمات حقن الأوامر (prompt injection)، حيث قامت Anthropic بإصلاح الخلل في 5 مايو. كشفت Microsoft عن المشكلة عبر HackerOne في 29 أبريل ونشرت تفاصيلها في منشور مدونة يوم الجمعة. نشأت الثغرة من معالجة وكيل الترميز بالذكاء الاصطناعي للتعليمات الخبيثة المخفية داخل مشكلات GitHub أو طلبات السحب أو التعليقات. بدأت Microsoft البحث بعد ملاحظة محاولات حقن الأوامر في مستودعات عامة باستخدام سير عمل GitHub مدعوم بالذكاء الاصطناعي، حيث يمكن للمحتوى الذي يتحكم به المهاجم التأثير في طريقة استخدام الوكيل لأدواته. ويُبرز الإفصاح مخاطر أمنية ينشئها وكيل الترميز بالذكاء الاصطناعي عند تشغيله داخل سير عمل CI/CD، والذي غالبًا ما يملك وصولًا إلى مفاتيح API وبيانات اعتماد السحابة وغيرها من المعلومات الحساسة.

عثر باحثو Microsoft على متجه هجوم حقن الأوامر

ذكرت Microsoft في منشور مدونتها أن البحث بدأ بعد ملاحظة محاولات حقن الأوامر في مستودعات عامة باستخدام سير عمل GitHub مدعوم بالذكاء الاصطناعي عبر عدة مزودين. اعتمدت طريقة الهجوم على محتوى في المشكلات أو طلبات السحب يتحكم به المهاجم وتمت معالجته بواسطة الوكيل بالذكاء الاصطناعي، ما يمكن أن يؤثر في استخدامه لأدواته. على GitHub، يسمح طلب السحب للمطورين باقتراح تغييرات في مستودع كود وطرح تلك التغييرات للمراجعة قبل الموافقة عليها ودمجها. ووفقًا لما ذكرته Microsoft، كان بإمكان المهاجمين استخدام هجمات حقن الأوامر المخفية داخل مشكلات GitHub أو طلبات السحب أو التعليقات للتلاعب بـ Claude Code من أجل الوصول إلى ملفات تحتوي بيانات اعتماد حساسة. Claude Code هو وكيل الترميز بالذكاء الاصطناعي من Anthropic لمهام تطوير البرمجيات الذي أُطلق في أكتوبر.

اختبارات Microsoft للثغرة عبر نطاق مُتحكم به

أنشأت Microsoft سير عمل GitHub وأخفت التعليمات الخبيثة خلف محتوى مستضاف على نطاق كانت تتحكم به لاختبار الثغرة. مكّن هذا النهج الباحثين من تجاوز ضوابط السلامة الخاصة بـ Claude. خدعت حيلة حقن الأوامر Claude لقراءة بيانات اعتماد حساسة وتعديلها لتفادي كليهما: ضوابط Claude وأدوات المسح السرّي في GitHub. وذكرت Microsoft أنه يمكن للمهاجم عندئذٍ إعادة بناء بيانات الاعتماد وتسريبها عبر تعليقات المشكلات أو سجلات سير العمل أو طلبات الويب أو أوامر سطر الأوامر (shell). وكتبت Microsoft أنه لتجاوز آليات رفض الأمان لدى Sonnet، أخفت الشركة حمولة سطر الأوامر خلف استجابة صادرة من نطاق كانت تتحكم به. كما فعّلت Microsoft سير العمل ليتم تشغيله بواسطة مستخدمين دون أذونات 'write' لضمان أن متغيرات بيئة Anthropic كانت تمحي التخفيفات (scrub mitigations) أثناء الاختبارات.

قامت Anthropic بإصلاح نسخة Claude Code 2.1.128 في 5 مايو

أصلحت Anthropic الخلل في 5 مايو عبر Claude Code الإصدار 2.1.128، بعد أن كشفت Microsoft عن الثغرة عبر HackerOne في 29 أبريل. حظيت الأداة بتدقيق في مارس بعد أن تسربت عن طريق الخطأ لدى Anthropic أكثر من 500,000 سطر من كود مصدرها، ما كشف تفاصيل بنيتها الداخلية ودفع إلى تحليل واسع النطاق من قبل الباحثين والمطورين. وعلى الرغم من وجود عدة طبقات من ضوابط الأمان المدمجة، وجدت Microsoft أن مهاجمًا مصممًا قد يتمكن نظريًا من التلاعب بوكيل ذكاء اصطناعي لإظهار معلومات حساسة.

تحذير Microsoft من اعتبار دوال اللغة الطبيعية كودًا قابلاً للتنفيذ

ذكرت Microsoft في منشور مدونتها أن الصناعة تتجه إلى حقبة تصبح فيها اللغة الطبيعية كودًا قابلاً للتنفيذ، وأن المدخلات غير الموثوقة مثل مشكلات GitHub يجب التعامل معها على أنها عدائية افتراضيًا. وكتبت الشركة إن تعليقًا واحدًا مصممًا بعناية، مقترنًا بحدود ثقة تم فهمها بشكل خاطئ، يكفي للانصراف والاحتفاظ ببيانات اعتماد الإنتاج. يأتي التقرير في وقت بدأت فيه هجمات حقن الأوامر تبرز كواحدة من أكبر التهديدات الأمنية التي تواجه وكلاء الذكاء الاصطناعي. في هجوم حقن الأوامر، يخبئ المهاجم تعليمات داخل محتوى مثل رسائل البريد الإلكتروني أو المستندات أو مواقع الويب أو تعليقات الكود، ما يؤدي إلى أن يتبع نظام ذكاء اصطناعي تلك التعليمات بدلًا من تعليمات المستخدم.

الأسئلة الشائعة

ما الثغرة التي اكتشفها Microsoft في Claude Code؟

وجد باحثو Microsoft أن إجراء GitHub التابع لـ Claude Code لدى Anthropic يمكن التلاعب به عبر هجمات حقن الأوامر المخفية داخل مشكلات GitHub أو طلبات السحب أو التعليقات، ما يتيح للمهاجمين كشف بيانات اعتماد مخزنة ضمن مسارات تطوير البرمجيات.

متى أصلحت Anthropic ثغرة Claude Code؟

أصلحت Anthropic الثغرة في 5 مايو عبر Claude Code الإصدار 2.1.128، بعد أن كشفت Microsoft عن المشكلة عبر HackerOne في 29 أبريل.

كيف اختبرت Microsoft ثغرة Claude Code؟

أنشأت Microsoft سير عمل GitHub وأخفت التعليمات الخبيثة خلف محتوى مستضاف على نطاق كانت تتحكم به، ما سمح للباحثين بتجاوز ضوابط السلامة الخاصة بـ Claude وتضليل وكيل الذكاء الاصطناعي لقراءة بيانات اعتماد حساسة وتعديلها.