حمله تزریق پرامپت؛ چگونه Claude Code بدون حتی یک خط کد مخرب نفوذ میکند؟
این حمله بر پایه تزریق پرامپت غیرمستقیم (Indirect Prompt Injection) طراحی شده است؛ روشی که بهجای سوءاستفاده از آسیبپذیریهای کلاسیک، زنجیره اعتماد میان توسعهدهنده، ابزار هوش مصنوعی و منابع خارجی را هدف قرار میدهد.
این حمله بر پایه تزریق پرامپت غیرمستقیم (Indirect Prompt Injection) طراحی شده است؛ روشی که بهجای سوءاستفاده از آسیبپذیریهای کلاسیک، زنجیره اعتماد میان توسعهدهنده، ابزار هوش مصنوعی و منابع خارجی را هدف قرار میدهد.
۱. ایجاد یک Repository کاملاً عادی
مهاجم یک مخزن GitHub با ساختاری طبیعی و فاقد هرگونه کد مخرب منتشر میکند. بررسی دستی یا ابزارهای تحلیل ایستا نیز مورد مشکوکی را نشان نمیدهند.
۲. ایجاد خطای ساختگی
هنگام راهاندازی پروژه، یک خطای کاملاً معمولی نمایش داده میشود تا Claude Code برای رفع آن به دستورالعملهای موجود در پروژه مراجعه کند.
۳. دریافت دستور از طریق DNS TXT
نکته کلیدی حمله اینجاست که دستور مخرب در هیچ فایل پروژه وجود ندارد. اسکریپت راهاندازی در زمان اجرا محتوای یک رکورد DNS TXT تحت کنترل مهاجم را دریافت و اجرا میکند.
به همین دلیل:
- اسکنرهای کد چیزی پیدا نمیکنند.
- آنتیویروسها تنها یک درخواست DNS عادی مشاهده میکنند.
- رفتار مخرب تنها در Runtime ظاهر میشود.
۴. ایجاد Reverse Shell
پس از دریافت دستور، یکReverse Shell روی سیستم توسعهدهنده ایجاد میشود که میتواند منجر به:
- تصاحب سیستم توسعهدهنده
- سرقت API Keyها
- استخراج رمزهای عبور و اطلاعات حساس
- حرکت جانبی به سایر سامانههای سازمانی شود.
چرا این حمله اهمیت دارد؟
این سناریو نشان میدهد که امنیت توسعه نرمافزار دیگر تنها به بررسی کد محدود نیست. حتی اگر Repository کاملاً سالم باشد، رفتار عامل هوش مصنوعی در زمان اجرا میتواند به نقطه ورود مهاجم تبدیل شود.
این یافته اهمیت مفاهیم زیر را بیش از گذشته برجسته میکند:
- AI Security
- Supply Chain Security
- Runtime Security
- DevSecOps
- Zero Trust
- Threat Modeling
در واقع، اعتماد به عامل هوش مصنوعی نیز باید همانند اعتماد به کد، اعتبارسنجی و کنترل شود.
راهکارهای دفاعی
برای کاهش ریسک حمله تزریق پرامپت، پژوهشگران چند اقدام کلیدی را توصیه میکنند:
- استفاده از Human-in-the-Loop و جلوگیری از اجرای خودکار دستورات حساس.
- اجرای پروژههای ناشناس در Sandbox یا ماشین مجازی.
- پایش درخواستهای DNS، فعالیتهای Shell و رفتارهایRuntime.
- محدودسازی مجوزهای عاملهای هوش مصنوعی براساس اصل Least Privilege.
- پیادهسازی معماری Zero Trust و رویکرد Secure by Design برای ابزارهای Agentic AI.
جمعبندی
حمله تزریق پرامپت نشان میدهد نسل جدید تهدیدهای سایبری الزاماً در قالب فایل یا کد مخرب ظاهر نمیشوند. با گسترش استفاده از عاملهای هوش مصنوعی، سازمانها باید علاوه بر امنیت کد، امنیت تصمیمگیری مدلها، مسیر دریافت داده، ارتباطات Runtime و زنجیره تأمین نرمافزار را نیز بهعنوان بخشی از معماری دفاع سایبری در نظر بگیرند.
منابع
- 0DIN (Mozilla) – Clone This Repo and I Own Your Machine 0DIN Research Blog
- 0DIN (Mozilla) – Automated AI Red Teaming Mozilla 0DIN Program
- Help Net Security – Mozilla warns of indirect prompt injection risk in AI coding agents Help Net Security Report
این گزارش با استناد به چندین منبع معتبر بینالمللی تهیه و توسط تیم تحریریه ۲۴ نیوز بهصورت اختصاصی تحلیل، راستیآزمایی و بازنویسی شده است.
اتاق تحلیل ۲۴ نیوز | دیدگاه تحلیلی بهراد یوسفی
اگر این رخداد را صرفاً یک ضعف در Claude Code یا نمونهای از «تزریق پرامپت» بدانیم، مهمترین پیام آن را نادیده گرفتهایم. مسئله اصلی، تغییر مرز اعتماد در معماری امنیتی است. در نسل جدید ابزارهای Agentic AI، عامل هوشمند دیگر تنها یک دستیار تولید متن یا کد نیست؛ بلکه موجودیتی است که مجوز اجرای فرمان، دسترسی به فایلها، ارتباطات شبکه و تعامل با سرویسهای خارجی را در اختیار دارد. این تغییر، مدلهای سنتی امنیت نرمافزار را با چالشی اساسی روبهرو میکند.
ویژگی قابلتوجه این پژوهش آن است که هیچ آسیبپذیری کلاسیک، سرریز حافظه یا نقص احراز هویت مورد سوءاستفاده قرار نگرفته است. مهاجم تنها از زنجیره اعتماد میان مخزن کد، پیام خطا، اسکریپت راهاندازی و منبع خارجی استفاده میکند. این موضوع نشان میدهد که در عصر هوش مصنوعی، «رفتار» به اندازه «کد» باید موضوع Threat Modeling و ارزیابی ریسک باشد.
از منظر امنیت زنجیره تأمین، این سناریو مرز میان بررسی ایستای کد و امنیت زمان اجرا را از بین میبرد. بسیاری از سازمانها هنوز بر امضای دیجیتال بستهها، بررسی وابستگیها و اسکن مخازن تمرکز دارند، در حالی که این پژوهش نشان میدهد تصمیمهای خودکار عاملهای هوش مصنوعی و دادههایی که در زمان اجرا دریافت میکنند نیز بخشی از سطح حمله هستند. بنابراین، Runtime Security، کنترل ارتباطات خروجی و Detection Engineering باید در کنار DevSecOps به اولویت تبدیل شوند.
برای مدیران امنیت اطلاعات، این تحول پیام روشنی دارد: عاملهای هوش مصنوعی باید همانند هویتهای ممتاز (Privileged Identities) مدیریت شوند. محدودسازی مجوزها، ثبت کامل فعالیتها، اعتبارسنجی منابع خارجی، نظارت بر درخواستهای DNS و اعمال سیاستهای Zero Trust نباید ویژگیهای اختیاری باشند، بلکه باید بخشی از طراحی پایه این ابزارها محسوب شوند.
در سطح سیاستگذاری نیز، این روند نشان میدهد چارچوبهای حاکمیت هوش مصنوعی باید از مباحث اخلاقی فراتر بروند و الزامات امنیتی، قابلیت حسابرسی، کنترل تصمیمهای خودکار و مسئولیتپذیری عملیاتی را نیز پوشش دهند. هرچه سازمانها وابستگی بیشتری به عاملهای هوشمند پیدا کنند، تابآوری سایبری آنها بیش از هر زمان دیگری به توانایی مدیریت «اعتماد دیجیتال» وابسته خواهد شد؛ اعتمادی که از این پس باید بهطور مستمر راستیآزمایی، پایش و محدود شود، نه اینکه صرفاً فرض گرفته شود