واجهت أداة Claude Code التابعة لشركة Anthropic تحديات أمنية متزامنة بدأت في 31 مارس 2026، إثر رصد ثغرة حرجة في نظام إدارة الصلاحيات، رافقها حادث تسريب واسع النطاق للشيفرة المصدرية الخاصة بها. وتكتسب هذه التطورات أهمية قصوى نظراً للصلاحيات الواسعة التي تتمتع بها الأداة؛ إذ لا يقتصر دورها على تقديم اقتراحات برمجية، بل يمتد ليشمل تنفيذ أوامر سطر الأوامر (Terminal)، وتعديل الملفات الحساسة، وإدارة مستودعات البرمجيات.
وقد نتج تسريب الشيفرة المصدرية عن خطأ بشري في إعداد حزمة البرمجة عبر سجل npm، حيث تضمن ملف خريطة المصدر (.map) تفاصيل تقنية أتاحت الوصول إلى أكثر من 500 ألف سطر من الأكواد البرمجية الأصلية.
بالتوازي مع ذلك، كشف باحثون أمنيون عن ثغرة من نوع تخطي الصلاحيات تسمح بحقن أوامر خبيثة عبر ملفات المشروع، ما قد يمكّن المهاجمين من استخراج مفاتيح التشفير (SSH) وبيانات الاعتماد الخاصة بالخدمات السحابية. ويزيد تسريب الكود المصدري من خطورة الموقف، حيث يمنح الجهات المعادية مخططاً تشغيلياً دقيقاً يساعدهم على اكتشاف ثغرات إضافية أو بناء نسخ مزيفة من الأداة تستهدف المطورين ببرمجيات خبيثة.
تفاصيل تسريب البيانات وآليات كشف الثغرة
استناداً إلى تقارير عدة، بدأت سلسلة الأحداث في 31 مارس عندما نشرت شركة Anthropic بطريق الخطأ ملف (sourcemap) مخصصاً لعمليات التنقيح ضمن إصدار Claude Code v2.1.88 على منصة npm.
وقد أتاح هذا الملف للباحثين إعادة بناء الشيفرة المصدرية للأداة بشكل كامل، ما أدى إلى انتشار نحو 512 ألف سطر من لغة TypeScript، موزعة على ما يقارب 1900 ملف في غضون ساعات قليلة.
وعلى الرغم من أن التسريب استثنى أوزان النماذج وبيانات التدريب أو مفاتيح الاعتماد الخاصة بالعملاء، إلا أنه منح المهاجمين رؤية عميقة للتفاصيل التشغيلية الداخلية؛ وتحديداً ما يتعلق بآليات معالجة المدخلات وطرق فرض القيود البرمجية داخل الأداة.
خلل تنفيذ الأوامر وتجاوز طبقات الحماية
كشفت أبحاث لاحقة صادرة عن Adversa AI عن وجود ثغرة أمنية تتعلق بآلية تنفيذ نظام الصلاحيات الثلاثي الذي يعتمده Claude Code؛ وهو نظام يتكون من 3 مستويات تشغيلية:
- الحظر (deny).
- طلب الموافقة (ask).
- السماح التلقائي (allow).
وفي حين يعطي التصميم النظري لهذه المستويات الأولوية لقواعد المنع لضمان الأمان، تبرز المشكلة التقنية الفعلية عند التعامل مع الأوامر البرمجية المركبة والمعقدة. فقد وضعت Anthropic حداً أقصى لتحليل الأوامر الفرعية يقف عند 50 أمراً، وذلك كإجراء لتفادي تجمد واجهة الاستخدام (UI) عند معالجة العمليات الكثيفة.
وكان من المفترض تقنياً أن تتحول الأداة تلقائياً إلى وضع طلب الموافقة عند تجاوز هذا الحد كإجراء أمان احترازي، إلا أن الثغرة المكتشفة كشفت عن خلل في هذا التحول المنطقي.
السيناريوهات الهجومية ومخاطر سلاسل الإمداد
أثبت الباحثون إمكانية الالتفاف على ضوابط الأمان عبر إدراج تعليمات خبيثة داخل ملف (CLAUDE.md) في المستودعات البرمجية، لدفع الوكيل البرمجي لإنشاء سلسلة أوامر طويلة تتخطى الحد المسموح به للتحليل. وتؤدي هذه العملية تقنياً إلى تجاوز فلاتر المنع والتحقق دون إخطار المستخدم بحدوث هذا الخرق الأمني.
وتكمن الخطورة العملية في قدرة المهاجمين على استخراج بيانات حساسة للغاية، مثل مفاتيح التشفير (SSH)، أو بيانات اعتماد منصة AWS، أو رموز الوصول الخاصة بمنصات GitHub وnpm. إن نجاح مثل هذه الهجمات يهدد بشكل مباشر أمن سلاسل الإمداد البرمجية (Software Supply Chain)، ويؤثر على سلامة مسارات التكامل والنشر المستمر (CI/CD).
وعلى الرغم من وجود تدابير دفاعية إضافية توفرها الشركة، مثل تقنيات العزل (Sandboxing) التي تهدف لتقييد وصول أوامر Bash إلى موارد النظام والشبكة، إلا أن هذه الثغرات تظل تمثل تحدياً كبيراً يتطلب معالجة برمجية دقيقة لضمان عدم استغلال صلاحيات الوكيل البرمجي ضد بيئة التطوير.
