חוקרי צ'ק פוינט חשפו חולשות קריטיות ב-Claude Code

חוקרי צ'ק פוינט חשפו חולשות קריטיות ב-Claude Code, סוכן ה-AI לקידוד של אנת'רופיק, שאפשרו הרצת קוד מרחוק וגניבת מפתחות API – כך מפרסמת ענקית הגנת הסייבר הישראלית היום (ד').

על פי המחקר, הפעולות האסורות התאפשרו באמצעות ניצול מנגנונים מובנים כגון Hooks, אינטגרציות MCP (ר"ת Model Context Protocol) ומשתני סביבה. כך, תוקפים יכולים היו להריץ פקודות Shell שרירותיות ולחלץ מפתחות API – כאשר מפתחים שיבטו ופיתחו פרויקטים לא מהימנים, וזאת בלא כל פעולה נוספת, מעבר להפעלת הכלי עצמו. באופן זה, קבצי תצורה (קונפיגורציה) זדוניים ברמת המאגר הופעלו פשוט על ידי שיבוט ופתיחת פרויקט לא מהימן, ואפשרו את הביצוע הפעולות האסורות.

החולשות, בדרגת חומרה קריטית, סווגו כ-CVE-2025-59536 ו-CVE-2026-21852.

לפי החוקרים, "מנגנונים מובנים עלולים להיות מנוצלים כדי לעקוף בקרות אמון – עוד לפני קבלת הסכמת המשתמש".

הם הסבירו שמפתחות ה-API הגנובים של אנת'רופיק "יצרו סיכון רוחבי לארגונים, במיוחד בסביבות עבודה משותפות, שבהן מפתח שנפגע עלול היה לחשוף, לשנות או למחוק קבצים ומשאבים משותפים, ואף לייצר עלויות לא מורשות".

"שינוי רחב במודל האיומים של שרשרת האספקה"

"ממצאי המחקר שלנו מדגישים שינוי רחב יותר במודל האיומים של שרשרת האספקה בעידן ה-AI", כתבו חוקרי צ'ק פוינט. "קבצי קונפיגורציה ברמת המאגר מתפקדים כיום כחלק משכבת ההרצה, ודורשים בקרות אבטחה מעודכנות להתמודדות עם סיכוני אוטומציה המונעים על ידי AI". לדבריהם, "ככל שארגונים מאמצים במהירות כלי פיתוח מבוססי בינה מלאכותית סוכנית (Agentic AI) ומשלבים אותם בתהליכי העבודה הארגוניים, גבולות האמון בין קונפיגורציה להרצה מיטשטשים יותר ויותר".

החוקרים הסבירו כי "בפועל, קבצי קונפיגורציה שנועדו לייעל שיתוף פעולה הפכו למסלולי הרצה פעילים, והכניסו וקטור תקיפה חדש בשכבת הפיתוח מבוססת ה-AI, שמשולבת כיום בשרשרת האספקה הארגונית".

עוד הם כתבו כי "Claude Code תוכנן לייעל שיתוף פעולה באמצעות הטמעת קבצי קונפיגורציה ברמת הפרויקט ישירות בתוך מאגרים. הקבצים, הנתפסים כמטה-דאטה תפעולית תמימה, עלולים לתפקד כשכבת הרצה פעילה, המאפשרת פעולות מסוכנות ואסורות. מה שנועד לייעל שיתוף פעולה הפך בפועל לווקטור תקיפה שקט בתוך תהליך פיתוח מבוסס AI".

"המשמעות היא שפתיחה של מאגר זדוני עלולה לחלץ API פעיל של מפתח, להפנות תעבורת API מאומתת לתשתית חיצונית וללכוד אישורי גישה לפני קבלת החלטת אמון. בסביבות בינה מלאכותית שיתופיות, מפתח שנפגע עלול להפוך לשער לחשיפה ארגונית רחבה יותר", הסבירו.

על פי החוקרים, חשיפת מפתח API היא משמעותית, "כי באמצעות מפתח גנוב, תוקף עלול היה לגשת לקבצי פרויקט משותפים, לשנות או למחוק נתונים המאוחסנים בענן, להעלות תוכן זדוני או לייצר עלויות API בלתי צפויות. במערכות AI שיתופיות, מפתח חשוף בודד יכול להתרחב מחשיפה אישית להשפעה ברמת צוות".

"זהו סיכון חדש בשרשרת האספקה של כלי AI", סיכמו חוקרי צ'ק פוינט. "פלטפורמות פיתוח מודרניות נסמכות יותר ויותר על קבצי קונפיגורציה ברמת המאגר כדי למכן תהליכים ולייעל שיתוף פעולה. ככל שכלי הבינה המלאכותית מקבלים יכולת להריץ פקודות, לאתחל אינטגרציות חיצוניות ולהתחיל תקשורת רשת באופן אוטונומי – קבצי הקונפיגורציה הופכים בפועל לחלק משכבת ההרצה, ומשפיעים ישירות על התנהגות המערכת. זה משנה מהותית את מודל האיומים. הסיכון לא מוגבל עוד להרצת קוד לא מהימן – אלא מתרחב לפתיחת פרויקטים לא מהימנים".