كشف باحثو مايكروسوفت عن ثغرة أمنية تم تصحيحها الآن في Anthropic's Claude Code GitHub Action، والتي كان من الممكن أن تسمح للمهاجمين بكشف بيانات الاعتماد المخزنة في مسارات تطوير البرمجيات من خلال التلاعب بوكيل الذكاء الاصطناعي عبر محتوى GitHub الخبيث.

في منشور مدونة يوم الجمعة، حذرت مايكروسوفت من أن وكلاء الترميز بالذكاء الاصطناعي الذين يعملون داخل سير عمل CI/CD قد يخلقون مخاطر أمنية جديدة لأن تلك البيئات غالبًا ما يكون لديها وصول إلى مفاتيح API، وبيانات اعتماد السحابة، وغيرها من المعلومات الحساسة.

وكتبت مايكروسوفت: "بدأنا هذا البحث بعد ملاحظة محاولات حقن الأوامر في المستودعات العامة باستخدام سير عمل GitHub المدعوم بالذكاء الاصطناعي عبر عدة بائعين، حيث يتم معالجة المحتوى الذي يتحكم فيه المهاجم سواء كان مشكلة أو [طلبات سحب]، بواسطة وكيل الذكاء الاصطناعي ويمكن أن يؤثر على استخدام أدواته".

على GitHub، يسمح طلب السحب (pull request) للمطورين باقتراح تغييرات على مستودع الشفرة ومراجعة تلك التغييرات قبل الموافقة عليها ودمجها.

يأتي هذا التقرير في الوقت الذي برزت فيه هجمات حقن الأوامر كواحدة من أكبر التهديدات الأمنية التي تواجه وكلاء الذكاء الاصطناعي. في هجوم حقن الأوامر، يخفي المهاجم تعليمات في محتوى مثل رسائل البريد الإلكتروني أو المستندات أو مواقع الويب أو تعليقات الشفرة، مما يجعل نظام الذكاء الاصطناعي يتبع تلك التعليمات بدلاً من تعليمات المستخدم.

تم إطلاق Claude Code في أكتوبر، وهو وكيل الترميز بالذكاء الاصطناعي من Anthropic لمهام تطوير البرمجيات. وقد لفتت الأداة الانتباه في مارس بعد أن سربت Anthropic عن طريق الخطأ أكثر من 500,000 سطر من شفرتها المصدرية، كاشفة تفاصيل بنيتها الداخلية ومما أثار تحليلاً واسع النطاق من قبل الباحثين والمطورين.

وفقًا لمايكروسوفت، يمكن للمهاجمين استخدام هجمات حقن الأوامر المخفية في مشكلات GitHub، أو طلبات السحب، أو التعليقات للتلاعب بـ Claude Code للوصول إلى الملفات التي تحتوي على بيانات اعتماد حساسة.

لاختبار الثغرة الأمنية، أنشأت مايكروسوفت سير عمل على GitHub وأخفت تعليمات ضارة وراء محتوى مستضاف على نطاق تتحكم فيه، مما سمح للباحثين بتجاوز حماية Claude الأمنية. خدع هجوم حقن الأوامر Claude لقراءة بيانات الاعتماد الحساسة وتغييرها للتهرب من إجراءات حماية Claude وأدوات فحص الأسرار (secret-scanning) في GitHub. وقالت مايكروسوفت إن المهاجم يمكنه بعد ذلك إعادة بناء بيانات الاعتماد وسحبها عبر تعليقات المشكلات أو سجلات سير العمل أو طلبات الويب أو أوامر Shell.

وقالت الشركة: "لتجاوز آليات Sonnet لرفض الحماية، أخفينا حمولة الـ shell وراء استجابة من نطاقنا المتحكم به. كما مكنّا سير العمل من أن يتم تشغيله بواسطة مستخدمين ليس لديهم أذونات 'الكتابة' لضمان أن تخفيفات مسح متغيرات البيئة الخاصة بـ Anthropic كانت نشطة أثناء اختباراتنا".

صححت Anthropic الخلل في 5 مايو بإصدار Claude Code 2.1.128 بعد أن كشفت مايكروسوفت عن الثغرة الأمنية عبر HackerOne في 29 أبريل.

على الرغم من وجود طبقات متعددة من ضوابط الأمان المدمجة، وجدت مايكروسوفت أن مهاجمًا مصممًا قد يتمكن من التلاعب بوكيل الذكاء الاصطناعي لكشف معلومات حساسة.

وذكرت: "نحن ندخل حقبة حيث اللغة الطبيعية هي شفرة قابلة للتنفيذ، ويجب التعامل مع المدخلات غير الموثوق بها مثل مشكلات GitHub على أنها معادية افتراضيًا". "تعليق واحد، مصاغ بعناية، مقترن بحد ثقة غير مفهوم، هو كل ما يلزم للاستيلاء على بيانات اعتماد الإنتاج".