كشف باحثون عن سلسلة استغلال تتيح تجاوز بيئة العزل في تطبيق Claude Cowork المخصص لنظام التشغيل Windows، في تطور يسلط الضوء على حدود آليات الحماية المحلية داخل أدوات الذكاء الاصطناعي المكتبية الحديثة. وتمنح هذه السلسلة من يملك القدرة على تنفيذ برمجيات محلياً صلاحيات root كاملة داخل بيئة Ubuntu افتراضية معزولة يعتمد عليها المنتج، مع إمكانية كسر قيود الاتصال الخارجي بالكامل.
ويعمل Claude Cowork ضمن منصة Claude Desktop لنظام Windows، إذ يتولى تشغيل أداة Claude Code داخل بيئة Ubuntu افتراضية معزولة عبر تقنية Hyper-V. وصممت هذه البنية لمنح المستخدمين غير التقنيين أدوات تساعدهم على أتمتة المهام اليومية بطريقة أكثر أماناً، مع تجنيبهم التعامل المباشر مع واجهة Claude Code الأكثر تعقيداً والموجهة أساساً إلى المطورين.
تعتمد المنظومة الأمنية في Claude Cowork على طبقات دفاع متعددة، تبدأ بالتحقق من الاتصال عبر بروتوكول named pipe RPC باستخدام تقنية Authenticode، ثم استخدام مساحات أسماء Bubblewrap، وتخصيص مستخدمين محدودي الصلاحيات لكل جلسة عمل، إلى جانب تطبيق آلية تصفية seccomp، وتشغيل وكيل اتصال خارجي يمنع الوصول إلى نطاقات الويب غير المدرجة مسبقاً ضمن القائمة المسموح بها.
ركز البحث الأمني الذي أجرته شركة Armadin على اختبار قدرة هذه الطبقات الدفاعية على منع تنفيذ برمجيات خبيثة بصلاحيات root، ومنع إنشاء اتصال خارجي غير مقيد. ويقوم النموذج الأمني للمنصة على فرضية أساسية مفادها منع تشغيل أوامر عشوائية داخل البيئة الافتراضية، حتى عند تعرض أحد المكونات الداخلية للاختراق.
تدير خدمة CoworkVMService بيئة العزل بصورة أساسية. وتعمل هذه الخدمة بصلاحيات Local System على المضيف، وتوفر قناة named pipe للتواصل مع البيئة الافتراضية عبر بروتوكول JSON RPC. كما تفحص الاتصالات الواردة وتتحقق من توقيعات Authenticode التابعة لشهادة شركة Anthropic. وأكد الباحثون أن هذه الآلية أظهرت كفاءة عالية في مواجهة محاولات تزوير التوقيع أو تزييف سلسلة الثقة الرقمية.
تجاوز المصادقة عبر DLL sideloading
اتجه الباحثون إلى مسار مختلف عوضاً عن استهداف آلية التحقق مباشرة، ونجحوا في تخطيها عبر تقنية DLL sideloading، وهي أسلوب هجومي يقوم على دفع ملف تنفيذي موثق وموقع رقمياً إلى تحميل مكتبة برمجية خبيثة يتحكم بها المهاجم.
وأظهر الفحص أن ملف claude.exe يستدعي مكتبة USERENV.dll من مجلد التطبيق نفسه قبل البحث عنها في مسارات النظام القياسية. ومن خلال زرع ملف DLL مخصص يتضمن الوظائف البرمجية المطلوبة بجوار ملف claude.exe، تمكن الباحثون من تشغيل برمجياتهم داخل عملية Anthropic الموثوقة، وهو ما أتاح تلبية شروط مصادقة named pipe وتجاوزها بنجاح.
بعد تجاوز المصادقة، استعان فريق Armadin بوكيل برمجة مدعوم بالذكاء الاصطناعي لتحليل بروتوكول RPC غير الموثق عبر الهندسة العكسية. واعتمد التحليل على سجلات الخدمة، ورسائل الخطأ، والاختبارات الموجهة، وانتهى إلى تحديد أوامر التحكم الأساسية في البيئة الافتراضية، ومن بينها spawn وconfigure وstartVM.
وعند اختبار معاملات أمر spawn عبر حقن مدخلات عشوائية، رصد الباحثون حقلين تمررهما خدمة المضيف إلى برمجية sdk-daemon داخل البيئة الافتراضية من دون تنقية أو فحص للمدخلات. وفتح هذان الحقلان الباب أمام التحكم في سلوك الجلسة وقيود الاتصال بطريقة تقوض النموذج الدفاعي للمنصة.
الحقل الأول هو isResume، وقد صمم لإعادة استخدام جلسة عمل نشطة عوضاً عن إنشاء مستخدم جديد بصلاحيات محدودة. وعند تعيين قيمة هذا الحقل إلى true مع تحديد مستخدم نظام قائم مثل root، تم تجاوز فحص الحماية الذي يمنع استهداف الحسابات الأساسية، وهو ما وفر واجهة تحكم shell بصلاحيات root كاملة وصلاحيات Linux غير مقيدة.
أما الحقل الثاني فهو allowedDomains، وهو مخصص لتحديد نطاقات الإنترنت المسموح بالاتصال بها أثناء تنفيذ كل أمر. وأدى تعيين قيمته على رمز التعمي إلى تعطيل القائمة البيضاء لوكيل الاتصال الخارجي، وسمح بمرور بيانات كان يفترض حظرها برمز الاستجابة 403.
كانت الثغرة الحاسمة في بقاء العملية ذات المعرف الرقمي 1، المعروفة باسم Process 1، مرئية داخل مساحة أسماء Bubblewrap حتى عند التشغيل بصلاحيات root. وشكل هذا السلوك الممر الفعلي للخروج من بيئة العزل التي كان يفترض أن تفصل جلسة التشغيل عن البيئة الأساسية.
استغل الباحثون أداة nsenter ضد هذه العملية، وتمكنوا عبرها من مغادرة حدود عزل Bubblewrap بالكامل، والوصول إلى مساحات الأسماء الخاصة بالملفات والعمليات والشبكة داخل البيئة الافتراضية. ومنحهم ذلك تحكماً كاملاً بالبيئة الأساسية التي كان يفترض أن تبقى محمية عن جلسات التشغيل المعزولة.
ومن خلال دمج استغلال الحقلين في طلب برمجي واحد، تمكن الفريق من التشغيل بصلاحيات root، والخروج من بيئة العزل، وتسريب بيانات ملف الحسابات الحساس /etc/shadow إلى خادم خارجي ضمن خطوة واحدة. وقدم هذا السيناريو دليلاً عملياً على اختراق نموذج العزل بالكامل، من المصادقة الأولية حتى الاتصال الخارجي غير المقيد.
أرسلت شركة Armadin تفاصيل الثغرة إلى Anthropic في 20 مارس 2026، وجاء رد Anthropic في 24 مارس بتصنيف هذه السلسلة الاستغلالية على أنها لا تشكل خطراً أمنياً مباشراً، بسبب حاجة الاستغلال إلى امتلاك صلاحية تنفيذ البرمجيات محلياً على جهاز المضيف. وصادقت Armadin على نجاح هذا الاستغلال ضد منصة Claude Desktop for Windows في إصدارها رقم 1.9255.2.0.
وتوصي Armadin بحذف تطبيق Claude Desktop من الأنظمة التي لا تعتمد على وظائف Cowork، بهدف إلغاء خدمة named pipe والخدمة المرتبطة بها والمعرضة للاستغلال. وفي البيئات التي تتطلب تشغيل المنتج، يمكن تفعيل قواعد AppLocker الخاصة بالتطبيقات الحزمية لتقييد الحسابات المخولة بتشغيل التطبيق، وتقليص دائرة المستخدمين المعرضين لهجمات DLL sideloading.









