technology··1 دقيقة قراءة
ثغرة حقن الاستعلام في Claude Code قد تعرض بيانات اعتماد GitHub للخطر
يحذر باحثو مايكروسوفت من أن هجمات حقن الاستعلام قد تسمح للمتسللين بسرقة بيانات اعتماد GitHub عبر وكلاء البرمجة بالذكاء الاصطناعي.
حدد باحثو الأمن في مايكروسوفت ثغرة في Claude Code، وهو مساعد برمجة يعمل بالذكاء الاصطناعي، يمكن أن تمكن المهاجمين من سرقة بيانات الاعتماد من مستودعات GitHub عبر هجمات حقن الاستعلام.
تستغل الثغرة كيفية تفسير وكيل الذكاء الاصطناعي لمدخلات المستخدم. من خلال تضمين تعليمات ضارة في استعلامات تبدو غير ضارة، يمكن للمهاجم التلاعب بالوكيل للوصول إلى الرموز الحساسة المخزنة في تكوينات خط أنابيب CI/CD وسرقتها.
التأثير المحتمل
- قد تتعرض بيانات الاعتماد مثل مفاتيح API ورموز الوصول للاختراق.
- يمكن للمهاجمين الوصول غير المصرح به إلى المستودعات الخاصة.
- تؤثر الثغرة على فرق التطوير التي تستخدم Claude Code المدمج مع GitHub.
لم تؤكد مايكروسوفت بعد جدول زمني للإصلاح، لكنها تنصح المطورين بمراجعة تكوينات وكيل الذكاء الاصطناعي وتقييد الأذونات لبيانات الاعتماد الحساسة كإجراء احترازي.