كشف الباحث الأمني RyotaK من شركة GMO Flatt Security عن ثغرة خطيرة في أداة Claude Code GitHub Action التابعة لشركة Anthropic، حيث كان بإمكان المهاجمين الاستيلاء على مستودعات عامة تستخدم هذه الأداة بمجرد فتح قضية (Issue) واحدة خبيثة. الأخطر أن المستودع الرسمي للأداة نفسه كان عرضة للاستغلال، ما يعني أن الهجوم كان يمكن أن يحقن شيفرة خبيثة في الأداة ذاتها وينتشر إلى المشاريع التي تعتمد عليها.
الثغرة تم الإبلاغ عنها في يناير 2026، وأصلحتها Anthropic خلال أربعة أيام، مع تعزيز إضافي للأمان في الإصدارات اللاحقة، وصولًا إلى النسخة v1.0.94. وقد قيّمت الشركة الخطورة بمعدل 7.8 وفق CVSS v4.0 ودفعَت مكافأة مالية ضمن برنامج الثغرات.
كيف تم تجاوز الضوابط الأمنية
أداة Claude Code Action تمنح صلاحيات واسعة بشكل افتراضي، تشمل القراءة والكتابة على الشيفرة والقضايا وطلبات الدمج والملفات الخاصة بسير العمل. المفترض أن هذه الصلاحيات لا تُمنح إلا لمستخدمين لديهم وصول كتابي، لكن التحقق كان يحتوي على ثغرة: أي حساب ينتهي اسمه بـ [bot] كان يُعتبر موثوقًا، على افتراض أنه تطبيق GitHub رسمي. لكن أي شخص يمكنه تسجيل تطبيق GitHub خاص به واستخدامه لفتح قضية في أي مستودع عام، ما سمح بتمرير محتوى خبيث.
من هنا، استغل الباحث تقنية حقن التعليمات غير المباشرة (Indirect Prompt Injection)، حيث كتب قضية تبدو كرسالة خطأ، ثم أضاف تعليمات مخفية جعلت نموذج Claude ينفذ أوامر غير مصرح بها. الهدف كان الوصول إلى ملف /proc/self/environ الذي يحتوي على متغيرات البيئة، بما فيها الأسرار. ورغم وجود حواجز لمنع القراءة المباشرة، تمكن RyotaK من تجاوزها وجعل Claude يكتب القيم داخل القضية، ما سمح للمهاجم بجمعها.
قيمة الأسرار المسروقة
أهم هذه الأسرار هو زوج بيانات اعتماد يستخدمه GitHub Actions لطلب رمز OIDC، الذي يُثبت أن “هذا سير العمل يعمل في هذا المستودع”. يمكن استبدال هذا الرمز برمز تثبيت لتطبيق Claude GitHub يمنح صلاحيات كتابة كاملة. إعادة استخدام هذه العملية تعني أن المهاجم يحصل على وصول كامل إلى الشيفرة والقضايا وسير العمل. ولو استُهدف المستودع الرسمي للأداة، لكان بالإمكان تسميمها ونشر نسخة خبيثة إلى جميع المشاريع التي تعتمد عليها.
ثغرات إضافية ومسارات بديلة
- بعض أمثلة سير العمل الرسمية كانت تسمح لأي مستخدم بتشغيل الأداة عبر خيار allowed_non_write_users: “”*، وهو إعداد خطير حذرت منه الوثائق مسبقًا.
- Claude كان ينشر ملخصات المهام في لوحة عامة ضمن سير العمل، ما وفر قناة جاهزة لتسريب البيانات.
- يمكن للمهاجم تعديل قضية مستخدم موثوق بعد تشغيل سير العمل وقبل أن يقرأها Claude، ما يسمح بتمرير حمولة خبيثة باعتبارها “مدخلًا موثوقًا”.
حوادث واقعية مرتبطة
الثغرة ليست نظرية فقط. ففي فبراير 2026، استغل مهاجمون ثغرة مشابهة في سير عمل مشروع Cline، حيث تمكنوا من سرقة رمز نشر npm ودفع نسخة غير مصرح بها (cline@2.3.0) قبل أن تُسحب بعد ثماني ساعات. كما ظهر روبوت مستقل باسم HackerBot-Claw حاول استغلال ثغرات مماثلة في مشاريع كبرى مثل Microsoft وDatadog وCNCF.
التوصيات الأمنية
- التحديث إلى claude-code-action v1.0.94 أو أحدث.
- مراجعة أي سير عمل يسمح لمستخدمين بلا صلاحيات كتابة أو لحسابات بوت بتشغيل الأداة.
- عدم تمرير أي أسرار غير ضرورية إلى الأداة، والاكتفاء بمفتاح Anthropic وGITHUB_TOKEN.
- إزالة الأدوات والصلاحيات التي يمكن استخدامها في تسريب البيانات.
