اكتشاف أول ثغرة أمنية في Claude Code يثير القلق في 2026

تسرب غير مقصود لشفرة البرمجيات Claude Code يكشف عن ثغرة أمنية خطيرة، حيث قامت شركة Anthropic بنشر جزء كبير من كود أداة البرمجة بطريق الخطأ.

هذا التسريب أتاح للمحللين إعادة بناء حوالي 512 ألف سطر من الشفرة، مما وفر رؤية واضحة لآلية عمل الأداة وساهم في التعرف على نقاط ضعفها، بالإضافة إلى إمكانية إنشاء نسخ مزيفة قد تُستخدم في توزيع برمجيات خبيثة.

في هذا السياق، اكتشف فريق Adversa AI ثغرة في نظام الصلاحيات الخاص بـ Claude Code، الذي يُستخدم كمساعد برمجي عبر سطر الأوامر، مما يتيح له تعديل الملفات وتنفيذ أوامر النظام. يعتمد النظام على قواعد تمنع تنفيذ أوامر معينة، مثل نقل البيانات عبر الشبكة.

تتمثل المشكلة في تنفيذ سلاسل الأوامر الطويلة، حيث يتم فحص الأمان التفصيلي للأوامر الخمسين الأولى فقط. وعند تجاوز هذا الحد، يتم تخطي الفحوصات الدقيقة، ويُطلب من المستخدم تأكيد التنفيذ بشكل عام.

يمكن استغلال هذه الثغرة عبر هجوم استدراج الأوامر (prompt injection) من خلال إدراج ملف خبيث في مشروع عام يحتوي على تعليمات لتنفيذ سلسلة طويلة من الأوامر. وعند تجاوز الحد المحدد، قد تُنفذ أوامر حساسة دون تطبيق قواعد الحظر، مما يتيح تسريب بيانات مثل مفاتيح SSH أو معلومات الوصول السحابية.

وأشارت المعلومات إلى أن هناك نسخة داخلية من الأداة تضمنت إصلاحًا لهذه المشكلة، قبل أن يتم بعد ذلك اعتماد تعديل رسمي في إصدار أحدث لمعالجة الخلل.