أعلن باحثون لدى Microsoft عن ثغرة تم إصلاحها الآن في إجراء GitHub Action الخاص بوكيل البرمجة بالذكاء الاصطناعي Claude Code التابع لـ Anthropic، كانت تسمح للمهاجمين بكشف بيانات الاعتماد عبر هجمات حقن الأوامر (prompt injection). كشفت Microsoft عن المشكلة عبر HackerOne في 29 أبريل، وأصدرت Anthropic إصلاحًا في 5 مايو باستخدام إصدار Claude Code 2.1.128. استغلت الثغرة وكلاء الذكاء الاصطناعي الذين يعملون داخل مسارات CI/CD، حيث يمكن للتعليمات الخبيثة المخفية في قضايا GitHub أو طلبات السحب أو التعليقات أن تُوجّه الذكاء الاصطناعي للوصول إلى معلومات حساسة. حذرت Microsoft من أن وكلاء الترميز بالذكاء الاصطناعي يخلقون مخاطر أمنية جديدة لأن بيئات التطوير غالبًا ما تحتوي على مفاتيح API وبيانات اعتماد سحابية وغيرها من البيانات الحساسة.
Microsoft Researchers Exposed Prompt Injection Attack Vector in Claude Code
عثرت فرق بحثية لدى Microsoft على أنه يمكن للمهاجمين استخدام هجمات حقن الأوامر المخفية في قضايا GitHub أو طلبات السحب أو التعليقات للتلاعب في Claude Code بحيث يصل إلى ملفات تحتوي على بيانات اعتماد حساسة. في منشور مدونة يوم الجمعة، قالت Microsoft إن البحث بدأ "بعد رصد محاولات حقن أوامر في مستودعات عامة باستخدام سير عمل GitHub مدعوم بالذكاء الاصطناعي عبر عدة جهات، حيث تتم معالجة محتوى القضايا أو [طلبات السحب] التي يتحكم بها المهاجم بواسطة وكيل الذكاء الاصطناعي ويمكن أن يؤثر في طريقة استخدامه لأدواته".
لاختبار الثغرة، أنشأت Microsoft سير عمل GitHub وأخفت التعليمات الخبيثة خلف محتوى مستضافًا على نطاق كانت تسيطر عليه، ما سمح للباحثين بتجاوز ضوابط الأمان في Claude. خدعت هجمة حقن الأوامر Claude لقراءة بيانات اعتماد حساسة وتعديلها لتفادي كِلا ضوابط Claude وأدوات فحص الأسرار لدى GitHub. وقالت Microsoft إنه يمكن للمهاجم بعد ذلك إعادة بناء بيانات الاعتماد وتسريبها عبر تعليقات القضايا أو سجلات سير العمل أو طلبات الويب أو أوامر الصدفة (shell).
"للتجاوز آليات رفض Sonnet، أخفينا حمولة الصدفة (shell payload) خلف استجابة صادرة من نطاق نسيطر عليه"، قالت Microsoft. "كما أجرينا تمكينًا للسير العمل ليُحفَّز بواسطة مستخدمين دون صلاحيات 'write'، لضمان أن تخفيفات فحص متغيرات بيئة Anthropic كانت نشطة خلال اختباراتنا."
Anthropic Patched Vulnerability on May 5 After HackerOne Disclosure
أصلحت Anthropic الخلل في 5 مايو بإصدار Claude Code 2.1.128 بعد أن كشفت Microsoft عن الثغرة عبر HackerOne في 29 أبريل. يُعد Claude Code، وهو وكيل برمجة بالذكاء الاصطناعي تابع لـ Anthropic لمهام تطوير البرمجيات، قد أُطلق في أكتوبر. وقد حظي الأداة بمتابعة دقيقة في مارس بعد أن سربت Anthropic عن طريق الخطأ أكثر من 500,000 سطر من كودها المصدري، مُظهرة تفاصيل عن بنيتها الداخلية.
على GitHub، تتيح طلبات السحب للمطورين اقتراح تغييرات على مستودع كود وطلب مراجعة تلك التغييرات قبل اعتمادها ودمجها. استغلت الثغرة عملية المراجعة هذه عبر تضمين تعليمات خبيثة كان سيعالجها وكيل الذكاء الاصطناعي.
Microsoft Warns Natural Language Functions as Executable Code in AI Systems
رغم وجود عدة طبقات من ضوابط الأمان المدمجة، وجدت Microsoft أن مهاجمًا مصممًا قد يكون قادرًا على التلاعب بوكيل ذكاء اصطناعي لإظهار معلومات حساسة. قالت Microsoft: "نحن ندخل عصرًا تصبح فيه اللغة الطبيعية كودًا قابلاً للتنفيذ، وينبغي التعامل مع المدخلات غير الموثوقة مثل قضايا GitHub على أنها معادية افتراضيًا". "يكفي تعليق واحد مُصاغ بعناية، بالتزامن مع حدّ ثقة تم فهمه بشكل خاطئ، للانسحاب ببيانات اعتماد الإنتاج".
يأتي التقرير بينما ظهرت هجمات حقن الأوامر كأحد أكبر تهديدات الأمن التي تواجه وكلاء الذكاء الاصطناعي. في هجمة حقن أوامر، يخفي المهاجم تعليمات داخل محتوى مثل رسائل البريد الإلكتروني أو المستندات أو مواقع الويب أو تعليقات الكود، مما يتسبب في أن يتبع نظام ذكاء اصطناعي تلك التعليمات بدلًا من تعليمات المستخدم.
FAQ
ما الثغرة التي اكتشفها Microsoft في إجراء GitHub Action الخاص بـ Claude Code؟
وجد باحثو Microsoft أن إجراء GitHub Action الخاص بـ Claude Code لدى Anthropic يمكن التلاعب به عبر هجمات حقن الأوامر المخفية في قضايا GitHub أو طلبات السحب أو التعليقات. سمحت الثغرة للمهاجمين بكشف بيانات الاعتماد المخزنة ضمن مسارات تطوير البرمجيات عبر خداع وكيل الذكاء الاصطناعي للوصول إلى ملفات حساسة وتسريب المعلومات عبر تعليقات القضايا أو سجلات سير العمل أو طلبات الويب أو أوامر الصدفة.
متى أصلحت Anthropic ثغرة Claude Code؟
أصلحت Anthropic الثغرة في 5 مايو بإصدار Claude Code 2.1.128 بعد أن كشفت Microsoft عن المشكلة عبر HackerOne في 29 أبريل. تناول الإصلاح ناقل هجمة حقن الأوامر الذي يسمح بالتلاعب بوكيل الذكاء الاصطناعي داخل مسارات CI/CD.
لماذا تكون وكلاء برمجة الذكاء الاصطناعي عرضة لهجمات حقن الأوامر؟
حذرت Microsoft من أن وكلاء برمجة الذكاء الاصطناعي الذين يعملون داخل مسارات CI/CD يخلقون مخاطر أمنية جديدة لأن تلك البيئات غالبًا ما يكون لديها إمكانية الوصول إلى مفاتيح API وبيانات اعتماد سحابية ومعلومات حساسة أخرى. تستغل هجمات حقن الأوامر حقيقة أن اللغة الطبيعية يمكنها العمل ككود قابل للتنفيذ، مما يسمح للمهاجمين بإخفاء تعليمات خبيثة داخل المحتوى الذي يعالجه وكيل الذكاء الاصطناعي أثناء مهام مراجعة الكود.
