عالجت شركة Anthropic ثغرة أمنية في صندوق الشبكة (Network Sandbox) الخاص بأداة Claude Code، بعدما أفاد باحث أمني بأن الخلل كان يسمح بتجاوز قيود الاتصال الخارجي، بما يتيح استغلاله بالتكامل مع هجمات حقن الأوامر لاستخراج البيانات من بيئات التطوير.
تتعلق الثغرة بآلية صندوق الشبكة في Claude Code؛ وهي آلية مخصصة لتمرير الاتصالات الصادرة عبر وكيل محلي يتولى التحقق من قائمة السماح وحجب الوجهات غير المصرح بها. إلا أن الباحث الأمني أونان غوان أوضح أن الخلل يعتمد على حقن محرف البايت الصِفري داخل اسم مضيف SOCKS5، مسبباً خداع مرشح السماح ليرى النطاق وكأنه ينتهي بوجهة مصرح بها، في حين يفسره نظام التشغيل بطريقة مختلفة تماماً، ما يدفعه للاتصال الفعلي بمضيف محظور.
وفي المثال التوضيحي الذي عرضه الباحث، تبين أن السياسات الأمنية التي تقتصر على السماح بنطاقات محددة مثل *.google.com يمكنها قبول اسم نطاق بصيغة attacker-host.com\x00.google.com؛ إذ يطابق المرشح النهاية المسموحة في النص، بينما يتوقف مفسر النظام عند محرف Null Byte ويتعامل مع الوجهة مباشرة على أنها attacker-host.com. ونتيجة لذلك، يتحول الوكيل المحلي نفسه إلى قناة خروج تتجاوز سياسة العزل التي يعتمد عليها المستخدم.
وأشار غوان في إفصاحه الأمني إلى أن هذه الثغرة كانت موجودة في إصدارات Claude Code بدءاً من الإصدار 2.0.24 وصولاً إلى الإصدار 2.1.89، مؤكداً أنه جرى علاجها في الإصدار 2.1.90 الصادر في أبريل 2026. كما نبه الباحث إلى أن الإصلاح لم يرد كتنبيه أمني واضح ضمن ملاحظات الإصدار، فضلاً عن عدم إصدار معرف CVE خاص بهذه الثغرة حتى تاريخ إفصاحه.
وتتضاعف خطورة هذا الخلل عند ربطه بهجمات حقن الأوامر الموجهة ضد وكلاء الذكاء الاصطناعي في بيئات التطوير. إذ يمكن لتعليمات مخفية، سواء في تعليق برمجي على GitHub أو داخل مستند يقرأه الوكيل، أن تدفعه إلى تشغيل كود برمجي داخل الصندوق المعزول؛ ومن ثم يستغل هذا الكود ثغرة التجاوز لإرسال متغيرات البيئة، أو مفاتيح التشفير، أو الرموز وبيانات البنية التحتية الداخلية إلى خادم خارجي، حتى وإن كانت سياسة الخروج مقيدة بقائمة سماح.
من جهتها، أبلغت Anthropic بأن فريقها الأمني حدد المشكلة وعالجها بالفعل قبل استلام تقرير الباحث عبر منصة HackerOne. وأوضحت الشركة أن الإصلاح أُدرج في التزام عام بمستودع sandbox-runtime بتاريخ 27 مارس 2026، ثم شُحن ضمن إصدار Claude Code 2.1.88 في 31 مارس 2026، أي قبل البلاغ الذي تقدم به غوان في 3 أبريل 2026. وفي المقابل، يرى الباحث أن غياب التنبيه الأمني الواضح لمستخدمي Claude Code يجعل الفرق التي اعتمدت على هذه الضوابط غير قادرة على تقييم ما إذا كانت بيئاتها قد تعرضت لخروج بيانات غير مصرح به.
وتأتي هذه الواقعة بعد ثغرة أخرى مرتبطة بصندوق الشبكة في مستودع sandbox-runtime حملت المعرف CVE-2025-66479، وكانت تسمح بأن تفسر الأداة إعداد allowedDomains: []، المفترض به حظر كافة الاتصالات، على أنه سماح فعلي بالاتصال الخارجي. وتشير سجلات قاعدة البيانات الوطنية للثغرات الأمنية (NVD) وقواعد بيانات الثغرات إلى أن تلك المشكلة قد أثرت في sandbox-runtime قبل الإصدار 0.0.16، ما سمح للكود المعزول بإجراء طلبات شبكة خارج القيود المقررة للصندوق.
وعلى الصعيد العملي، يضع هذا الحادث ضوابط العزل المدمجة في أدوات البرمجة المعتمدة على الذكاء الاصطناعي تحت تدقيق أكبر؛ إذ يثبت أن الاعتماد على قائمة السماح داخل الوكيل لا يعد كافياً وحده عندما تتعامل طبقات النظام المختلفة مع أسماء المضيفين بطرق متباينة، لا سيما في بيئات تطويرية تضم مفاتيح وصول ومستودعات خاصة وبيانات داخلية. وتبقى التوصية المباشرة للفرق التي استخدمت الإصدارات المتأثرة من Claude Code هي التحديث إلى إصدار حديث، مع مراجعة سجلات الخروج، وتدوير الأسرار التي كان يمكن الوصول إليها خلال فترة التعرض للثغرة.
