ثغرات أمنية

ثغرة في Claude Code تتيح سرقة رموز OAuth

كشف باحثون عن مسار خفي لاعتراض رموز OAuth في Claude Code عبر تغيير إعدادات MCP.

تم النشر في مايو. 08, 2026

ثغرة في Claude Code تتيح سرقة رموز OAuth — تحذير من هجمات تستهدف بيئة Claude Code لسرقة رموز الوصول

كشف باحثون في Mitiga Labs عن أسلوب هجوم يتيح للمهاجمين سرقة رموز OAuth من بيئة Claude Code عبر اختطاف غير ظاهر لحركة بروتوكول Model Context Protocol (MCP)، يمنحهم قدرة مستمرة على الوصول إلى منصات SaaS المتصلة بالأداة بصلاحيات المستخدم نفسه.

ترتبط المشكلة بطريقة تخزين إعدادات MCP ورموز OAuth داخل ملف ~/.claude.json. ففي حال تمكن المهاجم من تعديل هذا الملف، يمكنه إعادة توجيه حركة الاتصال إلى بنية تحتية يسيطر عليها قبل تمريرها إلى الوجهة الأصلية، في سيناريو يحاكي هجوم الرجل في المنتصف (Man-in-the-Middle).

أوضح الباحثون أن الهجوم يتطلب قدرة أولية على تثبيت حزمة npm معدة خصيصاً على جهاز يعمل عليه Claude Code ومهيأ لاستخدام خوادم MCP ذات تفويض ديناميكي. وتستخدم هذه الحزمة خطافاً بعد التثبيت يبحث عن مواقع استنساخ شائعة، ويعدل إعدادات الثقة لضمان عدم ظهور أي تنبيهات للمستخدم عند فتح الدليل لاحقاً.

إثر ذلك، يعمد الخطاف إلى تعديل ملف الإعدادات العام لإضافة عنوان وكيل يتحكم به المهاجم ضمن خوادم MCP. وعندما يبدأ Claude Code جلسة MCP أو يقوم بتحديثها، تمر رموز OAuth عبر ذلك الوكيل، بينما يظهر للمستخدم تدفق طبيعي للعمل دون أي مؤشرات واضحة على اعتراض الاتصال.

تكمن خطورة هذا الأسلوب في ديمومته؛ إذ يمكن للخطاف إعادة كتابة الإعدادات عند تحميل البيئة مجدداً، حتى لو قام المستخدم بتغيير عنوان خادم MCP أو تدوير الرمز. ووفقاً لـ Mitiga، يؤدي ذلك إلى تحويل دائم وغير ظاهر لبيانات اعتماد SaaS إلى بنية تحتية يسيطر عليها المهاجم، مع صعوبة تمييز هذه الحركة من جانب مزود الخدمة عن الاستخدام المشروع.

وفي حال سُرِق رمز OAuth، فقد يستخدمه المهاجم كمفتاح وصول يتجاوز المصادقة متعددة العوامل للوصول إلى الأدوات المتصلة عبر MCP، وذلك ضمن حدود صلاحيات المستخدم الأصلي. وهذا يعني أن الخطر لا يتوقف عند Claude Code فحسب، بل يمتد ليشمل الخدمات المؤسسية التي يتفاعل معها الوكيل البرمجي عبر تكاملاته.

من جهتها، أوصت Mitiga بمراقبة التغييرات في إعدادات Claude Code، وتبدلات عناوين خوادم MCP، وسلوك تحديث رموز OAuth، إضافة إلى رصد أي نشاط غير معتاد في واجهات SaaS أو حركة مرور غير متوقعة عبر تكاملات MCP. كما أشارت إلى أن Anthropic تلقت البلاغ في 10 أبريل 2026، وردت في 12 أبريل 2026 بأن الحالة تعتبر “خارج النطاق”، استناداً إلى أن المستخدم قد وافق مسبقاً على ما قد يحدث داخل بيئته البرمجية.