एंथ्रोपिक क्लाउड कोड की सुरक्षा खामियां उपकरणों को साइलेंट हैकिंग के लिए उजागर करती हैं, जो रिमोट कोड निष्पादन से शुरू होती है; दावा रिपोर्ट

सुरक्षा शोधकर्ताओं ने एंथ्रोपिक के कमांड-लाइन एआई टूल क्लाउड कोड में तीन सुरक्षा कमजोरियों को उजागर करने का दावा किया है। ये खामियाँ हमलावरों को किसी डेवलपर की मशीन पर दूरस्थ रूप से कोड निष्पादित करने या संवेदनशील एपीआई कुंजियाँ चुराने की अनुमति दे सकती थीं। चेक प्वाइंट की रिपोर्ट के अनुसार, कंपनी के शोधकर्ताओं ने तीनों खामियों का पता लगाया और एंथ्रोपिक को रिपोर्ट की, जिसने सभी के लिए सुधार जारी किए और दो के लिए सीवीई जारी किए। जबकि एंथ्रोपिक ने सुरक्षा दोष को ठीक कर दिया है, शोधकर्ताओं का कहना है कि मुद्दे एक चिंताजनक आपूर्ति श्रृंखला खतरे को दर्शाते हैं क्योंकि उद्यम अपनी विकास प्रक्रियाओं में क्लाउड जैसे एआई कोडिंग टूल को शामिल करते हैं और अनिवार्य रूप से कॉन्फ़िगरेशन फ़ाइलों को एक नई हमले की सतह में बदल देते हैं।कथित तौर पर हमला वेक्टर एक आपूर्ति श्रृंखला रणनीति पर निर्भर करता है जिसमें हैकर्स सार्वजनिक रिपॉजिटरी में दुर्भावनापूर्ण कॉन्फ़िगरेशन को इंजेक्ट कर सकते हैं, फिर बस डेवलपर द्वारा क्लोन किए गए प्रोजेक्ट को खोलने और खोलने की प्रतीक्षा करें। चेक प्वाइंट के शोधकर्ता अवीव डोनेनफेल्ड और ओडेड वानुनु ने रिपोर्ट में कहा, “रिपॉजिटरी-नियंत्रित कॉन्फ़िगरेशन फ़ाइलों के माध्यम से मनमाने आदेशों को निष्पादित करने की क्षमता ने गंभीर आपूर्ति श्रृंखला जोखिम पैदा किए, जहां एक भी दुर्भावनापूर्ण प्रतिबद्धता प्रभावित रिपॉजिटरी के साथ काम करने वाले किसी भी डेवलपर से समझौता कर सकती है।”कहा जाता है कि तीन सुरक्षा कमजोरियाँ एंथ्रोपिक क्लाउड के डिज़ाइन से उत्पन्न हुई हैं, जिसका उद्देश्य विकास टीमों के लिए सहयोग करना आसान बनाना है। एआई कोडिंग टूल प्रोजेक्ट-स्तरीय कॉन्फ़िगरेशन फ़ाइलों (.claude/settings.json फ़ाइल) को सीधे रिपॉजिटरी के भीतर एम्बेड करके इसे सक्षम बनाता है, ताकि जब कोई डेवलपर किसी प्रोजेक्ट को क्लोन करता है, तो वे स्वचालित रूप से अपने टीम के साथियों द्वारा उपयोग की जाने वाली समान सेटिंग्स लागू करते हैं।रिपोर्ट में कहा गया है कि प्रतिबद्ध पहुंच वाला कोई भी योगदानकर्ता इन फ़ाइलों को संशोधित कर सकता है। शोधकर्ताओं ने पाया कि क्लोनिंग और दुर्भावनापूर्ण रिपॉजिटरी खोलने से कभी-कभी उन्हें अंतर्निहित सुरक्षा उपायों को बायपास करने और छिपे हुए आदेशों को ट्रिगर करने और दुर्भावनापूर्ण कोड निष्पादित करने की अनुमति मिलती है।

आरसीई के लिए हुक का दुरुपयोग

पहली खामी में क्लाउड के हुक फीचर का दुरुपयोग शामिल था। टूल के जीवनचक्र में विशिष्ट बिंदुओं पर उपयोगकर्ता-परिभाषित शेल कमांड चलाने के लिए डिज़ाइन किया गया, हुक का उद्देश्य नियमित कार्यों को स्वचालित करना था।हालाँकि, क्योंकि ये हुक .claude/settings.json फ़ाइल में परिभाषित हैं – जो रिपॉजिटरी का हिस्सा है – कमिट एक्सेस वाला एक हमलावर किसी प्रोजेक्ट में दुर्भावनापूर्ण शेल कमांड को एम्बेड कर सकता है। जब कोई संदिग्ध डेवलपर प्रोजेक्ट खोलता था, तो क्लाउड अनुमति के अनुरोध के बिना इन आदेशों को स्वचालित रूप से निष्पादित करता था।“एक हमलावर किसी भी शेल कमांड को निष्पादित करने के लिए हुक को कॉन्फ़िगर कर सकता है – जैसे कि दुर्भावनापूर्ण पेलोड को डाउनलोड करना और चलाना,” शोधकर्ताओं ने पीड़ित की मशीन पर दूर से एक रिवर्स शेल लॉन्च करके दोष का प्रदर्शन करते हुए चेतावनी दी। चेक प्वाइंट ने 21 जुलाई, 2025 को एंथ्रोपिक को दुर्भावनापूर्ण हुक दोष की सूचना दी, और एआई निर्माता ने 29 अगस्त को इस GitHub सुरक्षा सलाहकार GHSA-ph6w-f82w-28w6 को प्रकाशित करते हुए लगभग एक महीने बाद अंतिम समाधान लागू किया।

एमसीपी सहमति बायपास बग

मॉडल कॉन्टेक्स्ट प्रोटोकॉल (एमसीपी) सुरक्षा संकेतों को दरकिनार करके रिमोट कोड निष्पादन (आरसीई) के लिए दूसरी भेद्यता की अनुमति दी गई। जबकि एंथ्रोपिक ने बाहरी एमसीपी सर्वर चलाने से पहले उपयोगकर्ता की मंजूरी की आवश्यकता वाली चेतावनियों को लागू किया था, शोधकर्ताओं ने एक समाधान खोजा।दो विशिष्ट रिपॉजिटरी-नियंत्रित सेटिंग्स में हेरफेर करके, टीम इन सुरक्षा उपायों को ओवरराइड करने में सक्षम थी, जिससे क्लाउड लॉन्च होने के क्षण में दुर्भावनापूर्ण कमांड निष्पादित हो गए – इससे पहले कि उपयोगकर्ता एक ट्रस्ट डायलॉग भी देख सके। इस बाईपास (सीवीई-2025-59536) ने अनिवार्य रूप से टूल के सुरक्षा संकेतों को एक तैयार किए गए रिपॉजिटरी के खिलाफ बेकार बना दिया।

एपीआई कुंजियाँ चुराने के लिए ट्रैफ़िक को पुनर्निर्देशित करना

अंतिम भेद्यता ने डेवलपर की साख को लक्षित किया। शोधकर्ताओं ने पाया कि वे किसी प्रोजेक्ट के कॉन्फ़िगरेशन में ANTHROPIC_BASE_URL वैरिएबल में हेरफेर कर सकते हैं। एपीआई कुंजी चोरी के लिए हमलावर तीसरी खामी का फायदा उठा सकते हैं। इस समापन बिंदु को एक हमलावर-नियंत्रित सर्वर पर पुनर्निर्देशित करके, क्लाउड के सभी एपीआई ट्रैफ़िक – जिसमें उपयोगकर्ता की एपीआई कुंजी वाले प्लेनटेक्स्ट प्राधिकरण हेडर भी शामिल थे – उजागर हो गए।शोधकर्ताओं ने अपने स्थानीय प्रॉक्सी के माध्यम से रूट करने के लिए ANTHROPIC_BASE_URL को कॉन्फ़िगर किया, और वास्तविक समय में सभी क्लाउड कोड के एपीआई ट्रैफ़िक को देखा। उन्होंने लिखा, एंथ्रोपिक सर्वर पर क्लाउड की प्रत्येक कॉल में “प्राधिकरण हेडर शामिल था – हमारी पूरी एंथ्रोपिक एपीआई कुंजी, पूरी तरह से सादे टेक्स्ट में उजागर।”कोई हमलावर ट्रैफ़िक को पुनर्निर्देशित करने और डेवलपर की सक्रिय एपीआई कुंजी चुराने के लिए इस ट्रिक का दुरुपयोग कर सकता है। यह महत्वपूर्ण है क्योंकि एपीआई में वर्कस्पेस नामक एक सुविधा शामिल है जो डेवलपर्स को एक ही क्लाउड-आधारित प्रोजेक्ट फ़ाइलों तक पहुंच साझा करने के लिए एकाधिक एपीआई कुंजियों की अनुमति देकर कई क्लाउड परिनियोजन प्रबंधित करने में मदद करती है। फ़ाइलें कार्यस्थान से जुड़ी होती हैं – एकल कुंजी नहीं – और कार्यस्थान से संबंधित किसी भी एपीआई कुंजी की भी कार्यस्थान की किसी भी संग्रहीत फ़ाइल में दृश्यता होती है।