أنثروبي تصلح ثغرات أمنية حرجة في خادم MCPGit: معالجة مخاطر تنفيذ التعليمات البرمجية عن بُعد

وجد باحثو الأمن، بمن فيهم أعضاء مجتمع يوإيتشيرو للأمن، ثلاث ثغرات عالية الخطورة في أداة mcp-server-git الخاصة بشركة أنثروبيك. ووفقًا لتقارير من Hacker News نقلاً عن باحثي Cyata، فإن هذه الثغرات (المعروفة كـ CVE-2025-68143، CVE-2025-68144، وCVE-2025-68145) تشكل مخاطر كبيرة على المستخدمين والمطورين الذين يعتمدون على مكون خادم Git هذا.

ما الذي يجعل هذه الثغرات خطيرة جدًا؟

تمكن الثغرات الثلاثة المهاجمين من تنفيذ وصول عشوائي للملفات من خلال هجمات تجاوز المسار وتقنيات حقن المعلمات. والأهم من ذلك، يمكن استغلال هذه الثغرات من خلال حقن الأوامر (prompt injection)، مما يعني أن المهاجمين يحتاجون فقط إلى اختراق مدخلات مساعد الذكاء الاصطناعي لتحفيز عمليات خبيثة. هذا المسار للهجوم مقلق بشكل خاص للأنظمة التي تدمج mcp-server-git مع نماذج اللغة، حيث أن حاجز الاستغلال منخفض جدًا.

تمثل تنفيذ التعليمات البرمجية عن بُعد (RCE) التهديد الأكثر خطورة، حيث تسمح للمهاجمين بالحصول على تنفيذ أوامر غير مصرح به على الأنظمة المتأثرة. من خلال التلاعب بمطالبات الذكاء الاصطناعي بمحتوى خبيث، يمكن للجهات المهددة تجاوز ضوابط الأمان وتنفيذ تعليمات برمجية عشوائية دون الوصول المباشر إلى النظام.

كيف استجابت أنثروبيك

اتخذ فريق التطوير إجراءات حاسمة طوال عام 2025، حيث أصدر تحديثات أمنية في إصدارات سبتمبر وديسمبر. شملت الإصلاحات إزالة أداة git_init وتنفيذ آليات تحقق محسنة من صحة المسارات. هذه التدابير تمنع بشكل فعال مسارات الهجوم مع الحفاظ على الوظائف الأساسية للمستخدمين الشرعيين.

ما الذي يجب على المستخدمين فعله

يوصي مجتمع البحث في يوإيتشيرو وخبراء الأمن بشدة باتخاذ إجراءات فورية. يجب على جميع المستخدمين والمطورين الذين يستخدمون mcp-server-git التحديث إلى أحدث إصدار مع تصحيحات الأمان على الفور. لا تزال الثغرات قابلة للاستغلال في الإصدارات القديمة، مما يجعل التحديثات السريعة ضرورية لحماية الأنظمة من الاختراق المحتمل.

ينبغي على المؤسسات التي تدمج هذا الأداة مع مساعدي الذكاء الاصطناعي أن تعطي أولوية لتحديث التصحيحات وإجراء مراجعات أمنية لإجراءات معالجة المطالبات لمنع هجمات الحقن من الوصول إلى مكون خادم Git.