كشفت أبحاث أمنية عن ثغرات متعددة في مساعد البرمجة المدعوم بالذكاء الاصطناعي “Claude Code” من أنثروبيك، والتي قد تؤدي إلى إمكانية تنفيذ تعليمات برمجية عن بعد وسرقة بيانات اعتماد واجهة برمجة التطبيقات. وتؤثر هذه الثغرات على أمن الذكاء الاصطناعي، مما يثير مخاوف بشأن حماية البيانات في بيئات التطوير.
ووفقاً لتقرير صادر عن شركة “تشيك بوينت ريسيرش”، فإن هذه الثغرات تستغل آليات تكوين مختلفة، بما في ذلك “Hooks” وخوادم “Model Context Protocol” (MCP) ومتغيرات البيئة. ويمكن للمهاجمين استغلالها لتنفيذ أوامر shell عشوائية وسرقة مفاتيح واجهة برمجة تطبيقات أنثروبيك عند قيام المطورين باستنساخ وفتح مستودعات غير موثوقة.
ثغرات تعريض بيانات اعتماد الذكاء الاصطناعي
تم تحديد ثلاثة عيوب رئيسية تتعلق بـ أمن الذكاء الاصطناعي. النوع الأول، وهو ما أطلقت عليه “تشيك بوينت ريسيرش” “No CVE”، يحمل درجة خطورة 8.7 وفقاً لمعيار CVSS. وتتعلق هذه الثغرة بحقن التعليمات البرمجية، ويمكن أن تسمح بتنفيذ تعليمات برمجية عشوائية دون موافقة إضافية من خلال خطافات المشروع غير الموثوقة المحددة في ملف “.claude/settings.json”. وقد تم إصلاح هذه الثغرة في الإصدار 1.0.87 في سبتمبر 2025.
من جهة أخرى، تندرج ثغرة CVE-2025-59536، التي تحمل درجة خطورة 8.7 أيضاً، تحت فئة حقن التعليمات البرمجية. تتيح هذه الثغرة للمهاجمين تنفيذ أوامر shell عشوائية تلقائياً عند تهيئة الأداة، وذلك بمجرد أن يبدأ المستخدم تشغيل Claude Code في دليل غير موثوق به. وقد تم معالجة هذه المشكلة في الإصدار 1.0.111 في أكتوبر 2025.
الإضافة إلى ذلك، تم اكتشاف ثغرة CVE-2026-21852، بدرجة خطورة 5.3، تتعلق بتسريب المعلومات. تستغل هذه الثغرة تدفق تحميل مشروع Claude Code، مما يسمح لمستودع خبيث بسرقة البيانات، بما في ذلك مفاتيح واجهة برمجة تطبيقات أنثروبيك. وقد تم إصلاح هذه الثغرة في الإصدار 2.0.65 في يناير 2026.
آلية استغلال أكواد الذكاء الاصطناعي
تكمن خطورة هذه الثغرات في إمكانية استغلالها بمجرد فتح مطور لمستودع يتم التحكم فيه من قبل مهاجم. فإذا كان هذا المستودع يحتوي على ملف إعدادات يوجه ANTHROPIC_BASE_URL إلى نقطة نهاية يتحكم فيها المهاجم، فسيقوم Claude Code بإجراء طلبات واجهة برمجة التطبيقات قبل عرض إشعار الثقة، مما قد يؤدي إلى تسريب مفاتيح واجهة برمجة التطبيقات الخاصة بالمستخدم، مثلما هو موضح في إشعار أنثروبيك الخاص بثغرة CVE-2026-21852.
بمعنى آخر، فإن مجرد فتح مستودع مصمم خصيصاً يمكن أن يكون كافياً لسرقة مفتاح API النشط للمطور، أو إعادة توجيه حركة مرور API المصادق عليها إلى بنية تحتية خارجية، أو التقاط بيانات الاعتماد. وهذا بدوره يمكن أن يسمح للمهاجم بالتغلغل بشكل أعمق في البنية التحتية الخاصة بالذكاء الاصطناعي للضحية.
قد يشمل ذلك الوصول إلى ملفات المشروع المشتركة، أو تعديل/حذف البيانات المخزنة على السحابة، أو تحميل محتوى ضار، بل وحتى توليد تكاليف غير متوقعة لواجهة برمجة التطبيقات. ويمكن أن يؤدي الاستغلال الناجح للثغرة الأولى إلى تنفيذ صامت على جهاز المطور دون أي تفاعل إضافي يتجاوز مجرد تشغيل المشروع.
تأثير بروتوكول سياق النموذج
تذهب ثغرة CVE-2025-59536 إلى تحقيق هدف مماثل، حيث يمكن استغلال الإعدادات المحددة بواسطة المستودع عبر ملفات “.mcp.json” و “claude/settings.json” من قبل المهاجم لتجاوز موافقة المستخدم الصريحة قبل التفاعل مع الأدوات والخدمات الخارجية من خلال بروتوكول سياق النموذج (MCP). ويتم تحقيق ذلك من خلال تعيين خيار “enableAllProjectMcpServers” إلى “true”.