تم اختراق Claude Code وCopilot وCodex. استخدم كل مهاجم بيانات الاعتماد، وليس النموذج.

30 مارس أبعد من الثقة أثبت أن اسم فرع GitHub المصمم يمكنه سرقة رمز Codex OAuth المميز في نص عادي. لقد صنفته OpenAI على أنه Critical P1. وبعد يومين، تسربت شفرة مصدر Anthropic’s Claude Code إلى سجل npm العام وفي غضون ساعات معاكس وجدت أن كلود كود يتجاهل بصمت قواعد الرفض الخاصة به عندما يتجاوز الأمر 50 أمرًا فرعيًا. ولم تكن هذه أخطاء معزولة. كانت هذه أحدث الهجمات خلال تسعة أشهر: كشفت ستة فرق بحثية عن برمجيات استغلالية ضد Codex، وClaude Code، وCopilot، وVertex AI، واتبعت كل برمجيات استغلالية نفس النمط. احتفظ وكيل ترميز الذكاء الاصطناعي ببيانات الاعتماد، وقام بتنفيذ الإجراء والمصادقة على نظام الإنتاج دون تثبيت الطلب من خلال جلسة بشرية.

تم عرض سطح الهجوم لأول مرة في Black Hat USA 2025 مع Zenity CTO اختطاف مايكل البرجوري ChatGPT وMicrosoft Copilot Studio وGoogle Gemini وSalesforce Einstein وCursor with Jira MCP على المسرح بدون نقرات. وبعد تسعة أشهر، حصل المهاجمون على هذه البيانات.

وقد تحدثت ميريت باير، مديرة تكنولوجيا المعلومات في Enkrypt AI والنائبة السابقة لرئيس قسم تكنولوجيا المعلومات في AWS، عن هذا الفشل في مقابلة حصرية مع VentureBeat. “تعتقد الشركات أنها وافقت على بائعي الذكاء الاصطناعي، لكنها في الواقع وافقت على الواجهة، وليس النظام الأساسي.” تشكل بيانات الاعتماد الموجودة أسفل الواجهة خرقًا.

Codex حيث سرق اسم الفرع رموز GitHub

أبعد من الثقة عثر الباحث تايلر جيسبرسن، جنبًا إلى جنب مع فليتشر ديفيس وسيمون ستيوارت، على مستودعات Codex مستنسخة باستخدام رمز GitHub OAuth المميز المضمن في عنوان URL البعيد لـ Git. أثناء الاستنساخ، أدخلت معلمة اسم الفرع البرنامج النصي للتثبيت في حالة غير نظيفة. حولت الفاصلة المنقوطة والعلامة الفرعية الخلفية اسم الفرع إلى حمولة ترشيح.

وأضاف ستيوارت الإخفاء. وبعد إضافة 94 حرفًا إيديوغرافيًا (Unicode U+3000) بعد كلمة “رئيسي”، بدا الفرع الخبيث مطابقًا للفرع الرئيسي القياسي على بوابة الويب الخاصة بالمخطوطة. يرى المطور “الرئيسي”. ترى القشرة أن Curl يقوم بإخراج رمزها المميز. صنفتها OpenAI على أنها P1 حرجة وقدمت حلاً كاملاً بحلول 5 فبراير 2026.

Claude Code حيث قام اثنان من CVEs والحل البديل المكون من 50 أمرًا فرعيًا بكسر وضع الحماية

CVE-2026-25723 ضرب قيود كتابة الملف لكلود كود. كانت أوامر sed و echo خارج نطاق الحماية للمشروع لأنه لم يتم التحقق من صحة تسلسل الأوامر. تم إصلاحه في الإصدار 2.0.55. CVE-2026-33068 كان أكثر دقة. قام Claude Code بحل أوضاع الأذونات من ملف ‎.claude/settings.json قبل عرض مربع حوار الثقة في مساحة العمل. قام المستودع الضار بتعيين الأذونات.defaultMode لتجاوز الأذونات. لم تظهر مطالبة الثقة مطلقًا. تم إصلاحه في الإصدار 2.1.53.

تجاوز 50 أمرًا فرعيًا هبطت أخيرًا. اكتشف أدفيرسا أن كلود كود توقف بهدوء عن تطبيق قاعدة الرفض عندما تجاوز عدد الإحالات 50. واستبدل المهندسون الإنسانيون الأمان بالسرعة وتوقفوا عن التحقق بعد الخمسين. تم إصلاحه في الإصدار 2.1.90.

كتب كارتر ريس، نائب رئيس الذكاء الاصطناعي والتعلم الآلي في الشركة: “هناك فجوة كبيرة في الذكاء الاصطناعي للمؤسسات وهي التحكم في الوصول المعطل، حيث لا يحترم مستوى التفويض المسطح الخاص بـ LLM أذونات المستخدم”. سمعة وعضو في لجنة يوتا للذكاء الاصطناعي. يقرر المستودع الأذونات التي يمتلكها الوكيل. تحدد ميزانية الرمز المميز قواعد الرفض التي ستظل قائمة.

Copilot حيث أصبح كل من وصف طلب السحب ومشكلة GitHub جذرًا

يوهان ريبيرجر مُبَرهن CVE-2025-53773 v.GitHub Copilot z ماركوس فيرفييه من السلامة المستدامة كمكتشف مشارك. تسببت البيانات المخفية في أوصاف العلاقات العامة في قيام Copilot بتبديل وضع الالتزام التلقائي في ملف .vscode/settings.json. أدى هذا إلى تعطيل جميع التأكيدات وتوفير تنفيذ Shell غير مقيد على أنظمة التشغيل Windows وmacOS وLinux. قامت Microsoft بتصحيح هذا في إصدار التصحيح يوم الثلاثاء أغسطس 2025.

ثم، سلامة أوركا مساعد الطيار متصدع في مساحات كود جيثب. تلاعبت التعليمات المخفية في مشكلة GitHub ببرنامج Copilot للتحقق من العلاقات العامة الضارة باستخدام رابط رمزي إلى /workspaces/.codespaces/shared/user-secrets-envs.json. قام عنوان URL لمخطط JSON $ الذي تم إنشاؤه باستخراج ملف GITHUB_TOKEN المميز. الاستيلاء على المستودع بالكامل. تفاعل المستخدم صفر بعد فتح مشكلة.

وصف مايك ريمر، كبير مسؤولي التكنولوجيا في شركة Ivanti، بُعد السرعة في مقابلة مع VentureBeat: “يقوم المهاجمون الإجراميون بإعداد تصحيحات هندسية عكسية في غضون 72 ساعة. إذا لم يقم العميل بتثبيت التصحيح خلال 72 ساعة من الإصدار، فهناك خطر من استغلالهم.” يقوم الوكلاء بضغط هذه النافذة إلى ثوانٍ.

Vertex AI، حيث كانت النطاقات الافتراضية هي Gmail وDrive وسلسلة التوريد الخاصة بشركة Google

الوحدة 42 اكتشف الباحث أوفير شاتي أن هوية خدمة Google الافتراضية المرتبطة بكل وكيل Vertex AI لديها أذونات زائدة. قدمت بيانات اعتماد P4SA المسروقة وصولاً غير مقيد للقراءة إلى كل شريحة تخزين سحابي في المشروع ووصلت إلى مستودعات Artifact Registry المملوكة لشركة Google والموجودة في قلب محرك الاستدلال Vertex AI. ووصف شاتي منصة P4SA المخترقة بأنها تعمل بمثابة “عميل مزدوج” مع إمكانية الوصول إلى بيانات المستخدم والبنية التحتية الخاصة بشركة Google.

شبكة الدفاع VentureBeat

متطلبات السلامة

أرسل الدفاع

استغلال المسار

فجوة

تنفيذ وكيل Sandbox AI

تدير هيئة الدستور الغذائي المهام في حاويات في السحابة؛ تم حذف الرمز المميز أثناء تشغيل الوكيل.

الرمز موجود أثناء الاستنساخ. تم إجراء حقن أمر اسم الفرع قبل عملية التنظيف.

عدم تطهير المدخلات في معلمات تكوين الحاوية.

تقييد الوصول إلى نظام الملفات

يتم حفظ صناديق الحماية الخاصة بـ Claude Code في وضع الالتزام والتحرير.

وضع الحماية لخط الأنابيب sed/echo (CVE-2026-25723). ملفSettings.json تجاوز مربع حوار الثقة (CVE-2026-33068). تخلت سلسلة مكونة من 50 أمرًا فرعيًا عن فرض قاعدة الرفض.

لم يتم التحقق من صحة سلسلة الأوامر. تم تحميل الإعدادات قبل الثقة. رفض القواعد المقطوعة لأسباب تتعلق بالأداء.

منع حقن التلميحات في سياق التعليمات البرمجية

يقوم مساعد الطيار بتصفية أوصاف العلاقات العامة لأنماط الحقن المعروفة.

أدت عمليات الحقن المخفية في ملفات PR، وREADME، وGitHub إلى تشغيل RCE (CVE-2025-53773 + Orca RoguePilot).

تفقد مطابقة الأنماط الثابتة للمطالبات المضمنة في مراجعات وتدفقات Codespaces الشرعية.

نطاق بيانات اعتماد الوكيل وصولاً إلى أدنى الامتيازات

يستخدم Vertex AI Agent Engine وكيل خدمة P4SA مع نطاقات OAuth.

وصلت النطاقات الافتراضية إلى Gmail والتقويم وDrive. تقرأ بيانات اعتماد P4SA كل قطاع من قطاعات التخزين السحابي وسجل عناصر Google.

بشكل افتراضي، لا يمكن تحرير نطاقات OAuth. أصغر الامتيازات التي ينتهكها المشروع.

هويات وكلاء المخزون والإدارة

لا يوفر أي من موردي عوامل تشفير الذكاء الاصطناعي الرئيسيين اكتشاف هوية الوكيل أو إدارة دورة حياته.

لم يتم إجراء أي محاولة. لا تقوم الشركات بتخزين وكلاء تشفير الذكاء الاصطناعي أو بيانات اعتمادهم أو أذوناتهم.

وكلاء ترميز الذكاء الاصطناعي غير مرئيين لـ IAM وCMDB والمخزون. لا يوجد أي إدارة.

كشف تسرب بيانات الاعتماد من وقت تشغيل الوكيل

يحجب الرمز الرموز المميزة في عرض بوابة الويب. يسجل كلود كود الأوامر الفرعية.

الرموز المميزة مرئية في نص عادي داخل الحاويات. أدى تشويش Unicode إلى إخفاء أحمال exfil. أخفت سلسلة الأوامر الفرعية النية.

لا توجد مراقبة لوقت تشغيل اتصال شبكة الوكيل. أدى اقتطاع السجل إلى إخفاء الحل البديل.

فحص التعليمات البرمجية التي تم إنشاؤها بواسطة الذكاء الاصطناعي بحثًا عن الثغرات الأمنية

انطلقت الأنثروبي كلود كود الأمن (فبراير 2026). تم إطلاق OpenAI أمن الكود (مارس 2026).

كلاهما يقوم بمسح الكود الذي تم إنشاؤه. ولا يقوم بفحص وقت تشغيل الوكيل أو معالجة بيانات الاعتماد.

أمان إخراج التعليمات البرمجية ليس أمان وقت تشغيل الوكيل. الوكيل نفسه هو سطح الهجوم.

كل استغلال يستهدف بيانات اعتماد وقت التشغيل، وليس مخرجات النموذج

أرسل كل بائع دفاعًا. تم تجاوز كل دفاع.

ال استطلاع سونار 2026 لمطوري حالة الكود وجدت أن 25% من المطورين يستخدمون وكلاء الذكاء الاصطناعي بانتظام، وأن 64% منهم بدأوا في استخدامها. فيراكود تم اختبار أكثر من 100 LLMs ووجدت أن 45% من عينات التعليمات البرمجية التي تم إنشاؤها قدمت أعلى 10 عيوب في OWASP، وهو فشل منفصل يؤدي إلى تفاقم فجوة بيانات اعتماد وقت التشغيل.

أوضح إيليا زايتسيف، كبير مسؤولي التكنولوجيا في CrowdStrike، هذا المبدأ في مقابلة حصرية مع VentureBeat في RSAC 2026: إعادة هوية الوكيل إلى شكل بشري، لأن الوكيل الذي يتصرف نيابة عنك لا ينبغي أن يتمتع بامتيازات أكثر منك. كان لدى Codex رمز GitHub OAuth المميز الذي يغطي كل مستودع معتمد من قبل المطور. يقرأ P4SA من Vertex AI كل شريحة تخزين سحابي في المشروع. قام كلود كود بتحويل تطبيق قاعدة الرفض إلى ميزانية رمزية.

قام كاين ماك جلادري، أحد كبار زملاء معهد مهندسي الكهرباء والإلكترونيات (IEEE) الذي يقدم المشورة للشركات بشأن مخاطر الهوية، بإجراء نفس التشخيص في مقابلة حصرية مع VentureBeat. “إنها تستخدم قوة أكبر بكثير مما ينبغي، وأكثر مما قد يستخدمه الإنسان، وذلك بسبب سرعة النطاق والنية.”

حدد ريمر خط التشغيل في مقابلة حصرية مع VentureBeat. “اتضح أنني لا أعرفك حتى أتحقق منك.” تم التواصل مع اسم الفرع مع Shell قبل التحقق من الصحة. تم إرسال مشكلة GitHub إلى Copilot قبل أن يقرأها أي شخص.

خطة عمل كبير موظفي السلامة

  1. جرد لكل وكيل تشفير AI (CIEM). كود، كلود كود، مساعد الطيار، المؤشر، مساعد الكود الجوزاء، ركوب الأمواج. قائمة ببيانات اعتماد OAuth ونطاقاته التي تم تلقيها أثناء الإعداد. إذا لم يكن لدى CMDB الخاص بك فئة هوية وكيل AI، فقم بإنشاء واحدة.

  2. التحكم في نطاقات OAuth ومستويات التصحيح. قم بتحديث Claude Code إلى الإصدار 2.1.90 أو الأحدث. اطلع على تصحيح Copilot لشهر أغسطس 2025. قم بترحيل Vertex AI إلى نموذج باستخدام حساب الخدمة الخاص بك.

  3. تعامل مع أسماء الفروع وأوصاف طلبات السحب ومشكلات GitHub وتكوين المستودع على أنها مدخلات غير موثوق بها. مراقبة تشويش Unicode (U+3000)، وتسلسل الأوامر إلى أكثر من 50 أمرًا فرعيًا، وتغييرات على .vscode/settings.json أو .claude/settings.json التي تعمل على عكس أوضاع الأذونات.

  4. إدارة هويات الوكلاء بنفس الطريقة التي تدير بها الهويات البشرية المميزة (PAM/IGA). تناوب الاعتماد. نطاق الامتياز الأقل. تقسيم المسؤوليات بين الوكيل الذي يكتب الكود والوكيل الذي ينفذه. يمكن أن تتضمن CyberArk وDelinea وأي منصة PAM تقبل الهويات غير البشرية بيانات اعتماد وكيل OAuth اليوم؛ 2026 دراسة الجاذبية وأظهرت أن 21.9% فقط من الفرق فعلت ذلك.

  5. تحقق قبل الاتصال بنا. وقال ريمر: “طالما أننا نثق ونتحقق من صحة الأمر ونتحقق منه، فأنا لا أمانع في أن يحافظ الذكاء الاصطناعي على ذلك”. قبل أن يقوم أي وكيل تشفير يعمل بالذكاء الاصطناعي بمصادقة GitHub أو Gmail أو مستودع داخلي، تحقق من هوية الوكيل ونطاقه والجلسة البشرية المرتبطة به.

  6. اسأل كل تاجر كتابيًا قبل التجديد التالي. “اعرض لي عناصر التحكم في إدارة دورة حياة الهوية لوكيل الذكاء الاصطناعي الذي يعمل في بيئتي، بما في ذلك نطاق الاعتماد وسياسة التناوب ومسار تدقيق الأذونات.” إذا لم يتمكن المورد من الرد، فهذه نتيجة تدقيق.

فجوة الإدارة في ثلاث جمل

يقوم معظم CISOs بجرد كل هوية بشرية وليس لديهم قوائم جرد لوكلاء الذكاء الاصطناعي الذين يعملون بأوراق اعتماد مماثلة. لا يوجد إطار عمل IAM ينظم التصعيد البشري والوكيل بنفس الدقة. تتتبع معظم الماسحات الضوئية كل CVE، لكن لا يمكنها التحذير عندما يقوم اسم فرع باستخراج رمز GitHub المميز من خلال حاوية يثق بها المطورون افتراضيًا.

كانت نصيحة زايتسيف للمشاركين في RSAC 2026 صريحة: أنتم تعرفون بالفعل ما يجب فعله. لقد جعل العملاء ببساطة تكاليف عدم القيام بذلك كارثية.

رابط المصدر

المواد ذات الصلةأكثر من مؤلف