- عثرت شركة Check Point على ثلاث نقاط ضعف في مساعد البرمجة Claude Code AI
- مكنت العيوب من سرقة مفتاح RCE وAPI
- المشكلات التي يتم استغلالها عبر المستودعات الضارة؛ كل مصححة قبل الكشف
إذا كنت تتطلع إلى دمج أدوات الذكاء الاصطناعي بعمق في سير العمل لديك، فكن حذرًا للغاية، حيث أن بعض نماذج الذكاء الاصطناعي الشائعة تأتي بها نقاط ضعف شديدة يمكن أن تحول المساعد الرقمي الموثوق به إلى مصدر خبيث من الداخل.
قام باحثون من Check Point (CPR) بتفصيل ثلاث نقاط ضعف في Claude Code والتي يمكن استخدامها لتنفيذ تعليمات برمجية ضارة (RCE) عن بعد، أو سرقة البيانات الحساسة مثل بيانات اعتماد API، من الضحايا المطمئنين.
من بين العيوب الثلاثة، تم تسمية اثنين: CVE-2025-59536 (8.7/10)، وCVE-2026-21852 (5.3/10). أما المشكلة الثالثة التي لم يتم تعيينها لـ CVE حتى الآن، فهي ثغرة أمنية في حقن التعليمات البرمجية.
إعادة تقييم الافتراضات الأمنية التقليدية
Claude Code هو مساعد ترميز متقدم يعمل بالذكاء الاصطناعي ويتيح للمطورين العمل مع الذكاء الاصطناعي مباشرة داخل بيئة الترميز الخاصة بهم (مثل المحطة الطرفية أو IDE). يمكن للمساعد القيام بجميع أنواع الأشياء، بما في ذلك تنفيذ المهام عبر قواعد التعليمات البرمجية بأكملها، وكل ذلك بناءً على تعليمات اللغة الطبيعية.
يقول CPR أن المهاجم يمكنه إنشاء مستودع ضار يتضمن ملفات تكوين مصممة خصيصًا على مستوى المشروع، ومشاركته مع أحد المطورين (على سبيل المثال، عبر بريد إلكتروني تصيدي، أو مهمة وهمية).
إذا قام المطور باستنساخ المستودع على أجهزته المحلية، وفتح دليل المشروع في Claude Code، فستقوم الأداة بتحميله تلقائيًا، مما يسمح للمهاجم بإساءة استخدام الآليات المضمنة وتشغيل أوامر shell المخفية. ونتيجة لذلك، يتم تجاوز مطالبات موافقة المستخدم، وتتم تهيئة الأدوات والخدمات الخارجية قبل الحصول على موافقة صريحة.
ببساطة، يمكن منح المهاجم إمكانات تنفيذ التعليمات البرمجية عن بعد أو يمكنه استخراج مفاتيح Anthropic API قبل أن يؤكد المستخدم ثقته في المشروع.
وقال CPR: “إن أدوات الترميز التي تعمل بالذكاء الاصطناعي أصبحت بسرعة جزءًا من سير عمل تطوير المؤسسات. إن فوائدها الإنتاجية كبيرة، ولكن كذلك الحاجة إلى إعادة تقييم الافتراضات الأمنية التقليدية”.
“لم تعد ملفات التكوين إعدادات سلبية. يمكنها التأثير على التنفيذ والشبكات والأذونات. ومع تعميق تكامل الذكاء الاصطناعي، يجب أن تتطور ضوابط الأمان لتتناسب مع حدود الثقة الجديدة.”
ولحسن الحظ، يقول CPR أن جميع المشكلات تم حلها قبل الكشف العلني.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات