چگونه Claude Code ابزاری برای اجرای کدهای مخرب در سیستم کاربر می‌شود؟

تصور کنید تنها یک لینک گیت‌هاب در یک پیام اسلک یا یک آگهی شغلی، کافی باشد تا مهاجمان کنترل کامل لپ‌تاپ شما را به دست بگیرند. این کابوس برای توسعه‌دهندگانی که از ابزارهای اتوماسیون کدنویسی استفاده می‌کنند، اکنون به واقعیت تبدیل شده است. این تهدیدات زنجیره‌ای یادآور اقدام اضطراری مایکروسافت در هفته‌های گذشته است که طی آن ۷۰ پروژه گیت‌هاب برای متوقف کردن بدافزارهای سرقت رمز عبور تعطیل شدند.

این آسیب‌پذیری در ۲۹ ژوئن ۲۰۲۶ توسط پژوهشگران 0DIN (پلتفرم شکار باگ‌های GenAI موزیلا) کشف شد. آن‌ها دریافتند که Claude Code اسکریپت‌های آماده‌سازی (setup scripts) را در مخازن متفرقه اجرا می‌کند، بدون آنکه پیش از اجرا، محتوای کد را به کاربر نشان دهد. این ابزار در واقع یک عامل (Agent) — شبیه به دستیاری است که اجازه دارد خودش در سیستم شما بچرخد و فایل‌ها را تغییر دهد — است که حالا اعتماد بیش از حدش به منابع خارجی، تبدیل به یک درِ پشتی شده است.

همان‌طور که در تحلیل قبلی ما درباره‌ی افزایش نرخ خطای زیر-عامل‌های کلود اشاره کردیم، این نقص جدید نشان می‌دهد که ما از «خطاهای عملکردی» عبور کرده‌ایم و وارد عصر «شکاف‌های امنیتی بحرانی» شده‌ایم. طبق گزارش the-decoder.com، این حمله از مکانیزم پیچیده‌ای برای دور زدن اسکنرهای امنیتی استفاده می‌کند:

• تزریق پرامپت غیرمستقیم (Indirect Prompt Injection): مهاجم دستور مخرب را به‌جای کد مخزن، درون یک ورودی DNS مخفی می‌کند. این تکنیک در واقع تکاملی از حملات تزریق پرامپت است که حفاظ‌های امنیتی هوش مصنوعی را دور می‌زند.
• اجرای زمان-اجرا (Runtime Execution): اسکریپت آماده‌سازی در لحظه اجرا، دستور را از یک منبع دوردست فراخانی می‌کند تا در بررسی‌های دستی کد دیده نشود.
• محرک خودکار: وقتی Claude Code هنگام تنظیمات با یک خطای روتینی مواجه می‌شود، به‌طور خودکار اسکریپت را اجرا کرده و یک «شِل معکوس» (Reverse Shell) برای مهاجم می‌سازد.

به محض باز شدن این مسیر، مهاجمان می‌توانند کلیدهای API و اطلاعات ورود به حساب‌ها را سرقت کنند تا دسترسی دائمی به شبکه شرکت پیدا کنند. این اتفاق، یک ابزار بهره‌وری را به ابزاری برای جاسوسی صنعتی یا تصاحب کامل سیستم تبدیل می‌کند.

برای مدیران کسب‌وکارهای فناوری، این معنای آن است که گردش کار «توسعه‌دهنده AI» در حال حاضر هیچ مرز امنیتی معتبری ندارد. تا زمانی که عامل‌های هوش مصنوعی مجبور نباشند هر تکه کد را پیش از اجرا نمایش داده و تأیید بگیرند، خطر حملات زنجیره تأمین در کدنویسی assist-AI بسیار بالا باقی می‌ماند.

گام بعدی شما

• دستورالعمل‌های آماده‌سازی در مخازن متفرقه را هرگز به‌عنوان کد مورد اعتماد نپذیرید.
• سیستم خود را برای شناسایی شِل‌های معکوس غیرمجاز مانیتور کنید.
• تمام کلیدهای API را که در محیط‌های دارای دسترسی نوشتنِ عامل‌های AI قرار دارند، بازبینی و در صورت نیاز تغییر دهید.

اما این تنها بخشی از ریسک‌های لایه‌ی زیرساختی است؛ تأثیر این حفره‌ها بر امنیت کلیدهای مدیریت‌شده در محیط‌های ابری را در گزارش بعدی بررسی خواهیم کرد.