🗓 الخميس - 26 مارس 2026، 06:30 مساءً |
⏱ 3 دقيقة |
👁 2 مشاهدة
ثغرة إضافة كلود في متصفح غوغل كروم سمحت بحقن أوامر تلقائية دون نقر، ما يعرّض الحسابات وبيانات المحادثات للخطر ويجعل زيارة أي صفحة كافية للهجوم. الخلل استهدف إضافة كلود التابعة لشركة أنثروبيك، حيث أمكن لموقع عادي إرسال أوامر تظهر في الشريط الجانبي وكأن المستخدم كتبها. هذه الحالة تُعد مثالاً مبكراً على مخاطر المساعدات الذكية داخل المتصفح. ما هي ثغرة إضافة كلود التي سمحت بالحقن الصامت؟ الثغرة اعتمدت على سلسلة أخطاء تجعل نطاقاً موثوقاً يسمح بتنفيذ جافاسكربت خبيث، ثم تمرير الأمر مباشرة إلى الإضافة. وبحسب متابعة تيكبامين، اعتُبرت المشكلة ثغرة إضافة كلود الأكثر حساسية لأنها تعمل بلا أي تفاعل من الضحية. سلسلة الأخطاء التقنية الهاكر استغل ثغرة XSS داخل نطاق فرعي مرتبط بـ claude.ai عبر مكوّن خارجي، ثم استُخدم ذلك لتنفيذ أوامر في سياق الإضافة. ثغرة XSS سمحت بتشغيل جافاسكربت داخل النطاق الموثوق.الإضافة كانت تقبل الأوامر إذا جاءت من أي نطاق مُدرج في القائمة المسموحة.تم تمرير الرسائل عبر postMessage من إطار مخفي. كيف نفذت الهجمات عبر مواقع الويب دون نقر؟ الهجوم كان من نوع «Zero-Click»، إذ يكفي دخول صفحة خبيثة حتى تُرسل الأوامر. بهذه الطريقة يمكن للمهاجم التحكم بما يراه المساعد الذكي دون أن يلاحظ المستخدم أي شيء. سيناريو الهجوم خطوة بخطوة الموقع يحمّل إطاراً مخفياً يحتوي على المكوّن الضعيف.الصفحة ترسل الحمولة الخبيثة عبر postMessage.السكريبت المحقون يطلق حقن الأوامر إلى الإضافة.الرسالة تظهر في الشريط الجانبي كطلب شرعي. هذا الأسلوب يجعل الحدود بين صفحة الويب والمساعد داخل المتصفح غير واضحة، وهو ما يرفع مخاطر الاستغلال. ما المخاطر على بيانات المستخدمين وخصوصيتهم؟ نجاح الاستغلال قد يسمح بسرقة رموز الدخول وسجل المحادثات، إضافة إلى تنفيذ أوامر بالنيابة عن المستخدم. ومع اتساع دور المساعدات الذكية، تصبح قيمة هذه البيانات أعلى للمهاجمين. الوصول إلى سجل المحادثات مع المساعد الذكي.جمع رموز الجلسات أو بيانات اعتماد مخزنة.إرسال رسائل أو بريد إلكتروني بانتحال هوية المستخدم.طلب معلومات حساسة من الضحية بطريقة مقنعة. هذه المخاطر تبرز أهمية الأمن الرقمي عند تشغيل مساعدات قادرة على التصفح والتصرف الذاتي. متى تم الإصلاح وما الذي تغيّر في إضافة كروم؟ تم الإبلاغ المسؤول عن الثغرة في 27 ديسمبر 2025، وأُطلق تحديث للإضافة يفرض تطابقاً صارماً مع النطاق «claude.ai». لاحقاً، عالجت آركوس لابز ثغرة XSS في 19 فبراير 2026. تدقيق صارم لأصل الرسائل داخل الإضافة.حصر القبول في نطاق واحد محدد بدقة.إصلاح الثغرة في المكوّن الخارجي لتقليل سطح الهجوم. ما الذي يجب على المستخدم فعله الآن؟ ينصح بتحديث الإضافة فوراً، ومراجعة الأذونات، وتقليل الاعتماد على المواقع غير الموثوقة. وتؤكد تيكبامين أن الوعي الأمني هو خط الدفاع الأول عند استخدام المساعدات الذكية. في النهاية، تُظهر ثغرة إضافة كلود أن أي خلل بسيط في الثقة بين النطاقات قد يحول المساعد إلى قناة هجوم، لذا يبقى التحديث المستمر واليقظة ضرورة يومية.