Χάκερς μπορούν να «σπάσουν» έργα λογισμικού απλώς με το άνοιγμα ενός project

- Advertisement -

Η ανάπτυξη λογισμικού στην εποχή της τεχνητής νοημοσύνης βασίζεται όλο και περισσότερο σε αυτοματοποιημένα εργαλεία. Όμως η ίδια αυτή αυτοματοποίηση μπορεί να μετατραπεί σε σημείο εισόδου για επιθέσεις.

Η Check Point Research (CPR) αποκάλυψε κρίσιμες ευπάθειες ασφαλείας στο Claude Code, το εργαλείο ανάπτυξης λογισμικού της Anthropic, το οποίο χρησιμοποιείται από δεκάδες εκατομμύρια χρήστες μηνιαίως. Οι αδυναμίες επέτρεπαν σε επιτιθέμενους να εκτελούν εξ αποστάσεως κώδικα και να αποσπούν κλειδιά API, χωρίς ο προγραμματιστής να κατεβάσει ή να τρέξει κάποιο ύποπτο πρόγραμμα — αρκούσε να ανοίξει ένα παραβιασμένο αποθετήριο κώδικα. Όλα τα ευρήματα κοινοποιήθηκαν υπεύθυνα στην Anthropic και διορθώθηκαν πριν δημοσιοποιηθούν.

Στην καρδιά της υπόθεσης βρίσκεται ο τρόπος με τον οποίο τα σύγχρονα εργαλεία ανάπτυξης βασίζονται σε μηχανισμούς αυτοματισμού. Η Check Point εντόπισε την ευπάθεια CVE-2025-59536, μέσω της οποίας οι μηχανισμοί αυτοματισμού του Claude Code μπορούσαν να ενεργοποιηθούν αθόρυβα κατά την εκκίνηση ενός project.

Με άλλα λόγια, το άνοιγμα ενός project μπορούσε να προκαλέσει την εκτέλεση κρυφών εντολών shell χωρίς καμία ορατή ειδοποίηση στον χρήστη. Ο προγραμματιστής δεν χρειαζόταν να πατήσει «run» ούτε να αποδεχθεί κάποια προειδοποίηση· η διαδικασία μπορούσε να ξεκινήσει αυτόματα.

Η έρευνα αποκάλυψε και δεύτερο επίπεδο κινδύνου: την παράκαμψη συναίνεσης χρήστη. Συγκεκριμένες ρυθμίσεις αποθετηρίου ήταν δυνατόν να παρακάμψουν τους ενσωματωμένους ελέγχους εγκρίσεων του Model Context Protocol (MCP). Αυτό σήμαινε ότι εξωτερικές υπηρεσίες μπορούσαν να ενεργοποιηθούν πριν ο χρήστης δώσει άδεια, ακυρώνοντας πρακτικά τον μηχανισμό προστασίας εμπιστοσύνης που υποτίθεται ότι προϋπήρχε.

Κλοπή κλειδιών API

Το πιο σοβαρό εύρημα αφορούσε την κλοπή κλειδιών API, που καταγράφηκε ως CVE-2026-21852. Οι ερευνητές διαπίστωσαν ότι η κυκλοφορία API —ακόμη και πλήρη headers αυθεντικοποίησης— μπορούσε να ανακατευθυνθεί σε server υπό τον έλεγχο επιτιθέμενου. Και αυτό μπορούσε να συμβεί πριν ο χρήστης επιβεβαιώσει ότι εμπιστεύεται το project που άνοιξε. Με απλά λόγια, ένας προγραμματιστής μπορούσε να χάσει τα διαπιστευτήριά του απλώς ανοίγοντας έναν φάκελο κώδικα.

Οι επιπτώσεις γίνονται ιδιαίτερα σοβαρές σε εταιρικά περιβάλλοντα. Ένα μόνο κλεμμένο κλειδί API σε εταιρικό workspace της Anthropic θα μπορούσε να επιτρέψει πρόσβαση σε κοινόχρηστα αρχεία, τροποποίηση ή διαγραφή τους, αλλά και δημιουργία μη εξουσιοδοτημένων χρεώσεων. Δηλαδή η επίθεση δεν περιοριζόταν στον υπολογιστή ενός προγραμματιστή, αλλά μπορούσε να επεκταθεί σε ολόκληρο οργανισμό.

Όπως τονίζει η Check Point, η υπόθεση αποτυπώνει μια βαθύτερη αλλαγή: τα εργαλεία ανάπτυξης λογισμικού με τεχνητή νοημοσύνη δεν αποτελούν πλέον βοηθητικά εργαλεία, αλλά βασική υποδομή. Όπως σημειώνει, οι οργανισμοί που υιοθετούν AI με γρήγορους ρυθμούς πρέπει να εξελίσσουν την ασφάλειά τους με τον ίδιο ρυθμό.

Μετά την ενημέρωση από την Check Point Research, η Anthropic προχώρησε σε διορθώσεις. Ενίσχυσε τις διαδικασίες έγκρισης εμπιστοσύνης χρήστη, απαγόρευσε την εκτέλεση εξωτερικών εργαλείων πριν από ρητή άδεια και μπλόκαρε επικοινωνίες API έως ότου επιβεβαιωθεί η συγκατάθεση του χρήστη στο project.

Η υπόθεση, ωστόσο, ξεπερνά ένα μεμονωμένο εργαλείο. Τα ευρήματα αναδεικνύουν μια νέα πραγματικότητα στην αλυσίδα εφοδιασμού λογισμικού. Τα αρχεία ρυθμίσεων αποθετηρίου, που μέχρι πρόσφατα θεωρούνταν απλό μεταδεδομένο, μπορούν πλέον να επηρεάζουν την εκτέλεση εντολών, τη δικτύωση και τα δικαιώματα πρόσβασης.

ΔΗΜΟΦΙΛΗ ΘΕΜΑΤΑ

Cosmote: Δωρεάν απεριόριστα data και φέτος το τριήμερο του Αγ. Πνεύματος

Δωρεάν απεριόριστα data και αυτό το τριήμερο του Αγίου...

Απλά Ψηφιακά 215: Η ευκαιρία της οπτικοακουστικής βιομηχανίας (Λ. Χριστόπουλος) και οι επόμενες κινήσεις...

Για τη συμβολή του οπτικοακουστικού τομέα στην ελληνική οικονομία,...

Η ελληνική παρουσία πίσω από τη νέα γενιά AI: Οι δύο founders που «τρέχουν»...

Η παγκόσμια κούρσα της τεχνητής νοημοσύνης μετριέται πλέον σε...

«Hellas Space 2.0»: Το νέο εθνικό διαστημικό πρόγραμμα των 350 εκατ. ευρώ για το...

Greece In Orbit – Η Ελλάδα σε Τροχιά Το πρώτο...

Απλά Ψηφιακά 214: Οι AI agents της Voicelogica (Απ. Ιωακείμ), η Kiefer και το...

Για τον ρόλο που διαδραματίζει η Voicelogica στον ψηφιακό...

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

ΠΡΟΣΦΑΤΑ ΑΡΘΡΑ

Πάνω από 92.000 κυβερνοεπιθέσεις μέσω ψεύτικων AI εφαρμογών

Η παγκόσμια έκρηξη της Τεχνητής Νοημοσύνης δεν αλλάζει μόνο...

Το 93% των επενδύσεων σε υποδομές – Μόλις το 7% στην ανάπτυξη εργαζομένων

Με την τεχνητή νοημοσύνη να αλλάζει με καταιγιστικούς ρυθμούς...

Απλά Ψηφιακά 215: Η ευκαιρία της οπτικοακουστικής βιομηχανίας (Λ. Χριστόπουλος) και οι επόμενες κινήσεις στο διάστημα

Για τη συμβολή του οπτικοακουστικού τομέα στην ελληνική οικονομία,...

Physical AI: 400.000 εγκαταστάσεις έως το 2030 σε βιομηχανία και logistics

Σε φάση εκρηκτικής ανάπτυξης εισέρχεται η αγορά της Φυσικής...

Γνωστική AI: Η νέα μάχη για τη νοητική ιδιωτικότητα – Οι τέσσερις απειλές

Μια νέα γενιά κινδύνων για την ιδιωτικότητα, την ανθρώπινη...