ثغرة Claude Code وتحذير مايكروسوفت: 7 طرق جديدة تجعل وكلاء الذكاء الاصطناعي عرضة للاختراق

يمكن أن يتكشف الهجوم في بضع خطوات خفية:

1. يفتح المهاجم مشكلة (Issue) أو طلب سحب (Pull Request) يبدو حميداً في مستودع عام يستخدم Claude Code GitHub Action.
2. يحتوي نص المشكلة أو تعليق HTML بداخلها على تعليمات لوكيل الذكاء الاصطناعي، غير مرئية للمراجع البشري الذي يمسح الصفحة.
3. عند تشغيل سير العمل، يعالج نموذج الذكاء الاصطناعي المحتوى كجزء من سياقه ويتبع التعليمات المضمنة لقراءة /proc/self/environ .
4. يمكن بعد ذلك توجيه النموذج لنقل البيانات، على سبيل المثال عن طريق نشرها مرة أخرى في تعليق. وأشار الباحثون إلى تحسين في الهجوم حيث قام بحذف أول سبعة أحرف (sk-ant-) من ANTHROPIC_API_KEY لتجنب اكتشافه بواسطة ماسحات الأسرار الآلية .

سطح الهجوم هذا – حيث تتحول التعليمات المكتوبة باللغة الطبيعية المحقونة في البيانات إلى أوامر قابلة للتنفيذ – هو جوهر حقن الأوامر (Prompt Injection)، وهو ناقل تهديد يعيد تعريف المشهد الأمني لوكلاء الذكاء الاصطناعي بسرعة.

التصحيح الاستباقي: الجدول الزمني للإفصاح

تفصيل مهم هو أن هذا كان إفصاحاً منسقاً حيث جاء الإصلاح أولاً.

• 5 مايو 2026: أصدرت Anthropic الإصدار Claude Code 2.1.128، والذي عالج الثغرة من خلال مواءمة عزل أداة القراءة مع تنظيف البيئة المطبق بالفعل على مسارات التنفيذ الأخرى .
• 5 يونيو 2026: نشرت مايكروسوفت تحليلها التفصيلي للتهديد، مستخدمة دراسة الحالة هذه لتقديم توصيات أمنية عاجلة للصناعة بأكملها .

ما وراء خطأ واحد: سبع طرق جديدة تفشل بها أنظمة الذكاء الاصطناعي الوكيلية

جاء الكشف عن ثغرة Claude Code على خلفية تقييم أمني أوسع. قبل يوم واحد، في 4 يونيو 2026، نشر فريق مايكروسوفت الأحمر للذكاء الاصطناعي (AI Red Team) الإصدار 2.0 من تصنيف أنماط الفشل في أنظمة الذكاء الاصطناعي الوكيلية . أضاف هذا التحديث الرئيسي، المستند إلى اثني عشر شهراً من الاشتباكات الواقعية للفريق الأحمر ضد وكلاء قيد التشغيل، سبع فئات جديدة تماماً من الفشل تتجاوز بكثير خللاً واحداً في تنفيذ التعليمات البرمجية.

تمثل أنماط الفشل الجديدة تصعيداً كبيراً في كيفية تفكير باحثي الأمن في أنظمة الذكاء الاصطناعي المستقلة:

1. اختراق سلسلة التوريد الوكيلية (Agentic Supply Chain Compromise): على عكس هجمات سلسلة التوريد التقليدية التي توصل تعليمات برمجية خبيثة، يشمل هذا الأمر إضافات مخترقة، أو خوادم MCP، أو قوالب أوامر تحقن تعليمات باللغة الطبيعية لتغيير سلوك الوكيل دون تشغيل ماسحات التعليمات البرمجية .
2. اختطاف الهدف (Goal Hijacking): يصوغ الخصم تعليمات تبدو وكأنها تساعد في إكمال مهمة مشروعة ولكنها تعيد توجيه الهدف النهائي للوكيل بصمت. يظل الوكيل غير مخترق من منظور برمجي ولكن تم تحويله إلى سلاح لخدمة هدف المهاجم .
3. تصعيد الثقة بين الوكلاء (Inter-Agent Trust Escalation): في الأنظمة متعددة الوكلاء، يمكن لوكيل مخترق أن يدعي زوراً هوية ذات ثقة أعلى أو صلاحيات مبالغاً فيها لمنسق مركزي لا يتحقق منها بشكل مستقل. هذا بمثابة نسخة باللغة الطبيعية من مشكلة "النائب المرتبك" (confused deputy) الكلاسيكية .
4. الهجوم البصري على وكيل استخدام الحاسوب (Computer Use Agent - CUA - Visual Attack): يمكن التلاعب بالوكلاء الذين يشغلون واجهات رسومية من خلال معلومات بصرية غير واضحة للبشر، مثل النصوص المخفية، أو عناصر واجهة المستخدم خارج الشاشة، أو الصور التي تضم حمولة حقن أوامر .
5. تلوث سياق الجلسة (Session Context Contamination): هجوم خفي يقوم فيه الخصم بإدخال معلومات متحيزة أو خبيثة في وقت مبكر من جلسة وكيل طويلة ومتعددة الخطوات. قد لا تؤدي هذه البيانات إلى تشغيل أي تحكم أمني في أي خطوة فردية، ولكنها تفسد تفكير الوكيل في إجراء لاحق يبدو غير متصل .
6. إساءة استخدام MCP / الإضافات (MCP / Plugin Abuse): تركيز محدث على أسطح الهجوم الخاصة بـ "بروتوكول سياق النموذج" (Model Context Protocol - MCP) وهياكل الإضافات، التي أصبحت الطريقة القياسية لتوسيع قدرات الوكيل .
7. الكشف عن القدرات / الهندسة المعمارية (Capability / Architecture Disclosure): يمكن جعل الوكيل نفسه يكشف عن تفاصيل التصميم الداخلي الحساسة – مثل مخططات الأدوات، أو واجهات الذاكرة، أو المنطق الذي يشغل موافقة بشرية – مما يمنح المهاجم مخططاً لهجمات مستقبلية أكثر دقة .

نقل هذا التصنيف الموسع الإطار من 27 وضع فشل أصلي إلى 34، مما يعكس التعقيد المتزايد والبصمة الواقعية للأنظمة الوكيلية .

تحصين خطوط CI/CD في عالم وكيلي

رداً على قضية Claude Code وتحديث التصنيف الأوسع، حددت مايكروسوفت مجموعة من التوصيات الأمنية لأي فريق يدمج وكلاء الذكاء الاصطناعي في خطوط الإنتاج الخاصة به. يؤكد التوجيه على أن العزل الجزئي هو راحة زائفة.

• عامل جميع المحتويات غير الموثوقة كناقل للحقن: لا تقم أبداً بتشغيل سير عمل وكيل ذكاء اصطناعي تلقائياً على المشكلات أو طلبات السحب أو التعليقات من المساهمين الخارجيين. يجب التعامل مع هذا المحتوى كمدخلات قد تكون معادية .
• عزل الأدوات بشكل متسق: أظهرت الفجوة بين أداة Bash المعزولة وأداة القراءة غير المعزولة أن تنظيف البيئة يجب أن يطبق بشكل موحد. يمكن لأداة واحدة غير معزولة أن تخترق سير العمل بأكمله .
• طبق مبدأ الامتيازات الأقل (Least Privilege): يجب أن يكون لمفاتيح API ورموز الوصول الخاصة بالوكيل نفسه أضيق نطاق ممكن، مما يحد من الضرر إذا تم كشفها. استخدم OIDC للحصول على بيانات اعتماد قصيرة العمر ومحددة الغرض كلما أمكن .
• تدقيق تجربة العنصر البشري في الحلقة (Human-in-the-Loop): يمكن أن تفشل ضوابط الأمن التي تعتمد على مراجعة بشرية إذا كانت حمولة الهجوم مخفية في تعليقات HTML أو Markdown خام لا يراها المراجع أبداً. خطوة الموافقة البشرية قوية فقط بقدر ما هو ظاهر للموافقة عليه .
• جرد سلسلة توريد الوكيل: يجب على الفرق إنشاء قائمة بمكونات البرنامج (SBOM) لكل وكيل منتشر، مما يعكس رؤية سلسلة التوريد التي أصبحت الآن معياراً للبرمجيات التقليدية .

خلال هذا التوجيه، ينسج مبدأ معماري أساسي يسميه مجتمع الأمن "قاعدة الاثنين" (Rule of Two) . ينص هذا المبدأ، الذي نشأ من إطار شركة Meta في أكتوبر 2025 لأمن الوكلاء العملي، على أن الوكيل يجب ألا يستوفي أكثر من اثنين من الشروط الثلاثة التالية: معالجة مدخلات غير جديرة بالثقة، امتلاك وصول إلى بيانات حساسة، وامتلاك القدرة على تنفيذ إجراءات تغير الحالة الخارجية . كانت ثغرة Claude Code خرقاً كلاسيكياً لهذا المبدأ، حيث كان الوكيل يتعامل في آن واحد مع مدخلات من طلب سحب غير موثوق به ويحمل بيانات اعتماد قوية.