پژوهشگران امنیتی از کشف چندین آسیبپذیری بحرانی در ابزار برنامهنویسی مبتنی بر هوش مصنوعی شرکت انتروپیک به نام کلاد کد (Claude Code) خبر دادهاند. این حفرههای امنیتی به مهاجمان اجازه میدادند تنها با باز شدن یک مخزن پروژه توسط برنامهنویس، کنترل کامل سیستم او را به دست گرفته یا کلیدهای امنیتی حساس را به سرقت ببرند.
شرکت انتروپیک پس از دریافت گزارشهای امنیتی، وصلههای لازم را برای رفع این مشکلات منتشر کرده و از کاربران خواسته است به سرعت نرمافزار خود را بهروزرسانی کنند.
طبق گزارش منتشر شده توسط محققان شرکت چکپوینت، این ابزار که برای تسهیل کدنویسی، رفع باگ و خودکارسازی وظایف توسعهدهندگان طراحی شده، با چالشهای امنیتی جدی در مدیریت فایلهای تنظیمات روبرو بوده است.
دو مورد از این آسیبپذیریها که با شناسه مشترک CVE-2025-59536 ردیابی میشوند، به مهاجمان اجازه میدادند دستورات مخرب خود را از طریق فایلهای پیکربندی پروژه اجرا کنند. این فرآیند بدون نیاز به تایید صریح کاربر و بهصورت خودکار در پسزمینه انجام میشد که ریسک حملات زنجیره تامین را به شدت افزایش میداد.
مهاجمان بهواسطه یکی از حفرههای شناسایی شده میتوانستند با تزریق دستورات مخرب، به ترمینال سیستم برنامهنویس دسترسی پیدا کرده و با سطح دسترسی کاربر، فرامین دلخواه خود را اجرا کنند.
مورد دوم نیز به پروتکل مدل کانتکست (Model Context Protocol) مربوط میشد که برای اتصال ابزار به سرویسهای خارجی استفاده میشود و در آنجا نیز امکان اجرای کد پیش از نمایش هرگونه هشدار امنیتی به کاربر وجود داشت.
آسیبپذیری سوم که با شناسه CVE-2026-21852 شناخته میشود، ابعاد گستردهتری داشت؛ چرا که به هکرها اجازه میداد بدون هیچگونه تعامل با کاربر، کلیدهای ایپیآی او را سرقت کنند. در این روش، مهاجم با تغییر تنظیمات در فایل پیکربندی پروژه، ارتباطات میان ابزار کلود کد و سرورهای انتروپیک را به سمت یک سرور تحت کنترل خود منحرف کرده و اطلاعات حساس را پیش از آنکه کاربر متوجه پیام هشدار شود، استخراج میکرد.
کارشناسان امنیتی معتقدند ادغام هوش مصنوعی در فرآیند توسعه نرمافزار، اگرچه بهرهوری را به شکل چشمگیری افزایش میدهد، اما سطوح جدیدی از حملات را ایجاد کرده است که در ابزارهای سنتی وجود نداشتند. در حالی که پیش از این فایلهای تنظیمات صرفا حاوی دادههای غیرفعال بودند، اکنون در ابزارهای مدرن هوش مصنوعی به بازوهای اجرایی تبدیل شدهاند که میتوانند امنیت کل سیستم را به خطر بیندازند. انتروپیک اعلام کرده است که در نسخههای آینده، ویژگیهای امنیتی بیشتری برای مقاومسازی این پلتفرم در برابر چنین حملاتی اضافه خواهد کرد.
توضیحات بیشتر: