ثغرتان في معلمات المسار على خادم Git الخاص بـ Anthropic's MCP، تتيح تنفيذ التعليمات البرمجية عن بُعد

تُسلط مشكلة الأمان في mcp-server-git التي تديرها شركة Anthropic الضوء على نفسها. فقد أشارت فريق البحث في Cyata في 21 يناير إلى ثلاث ثغرات خطيرة (CVE-2025-68143، CVE-2025-68144، CVE-2025-68145) ناتجة عن فشل في التحقق من صحة معلمات المسار، مما قد يسمح بالاستغلال والوصول المباشر إلى النظام.

مخاطر التنفيذ عن بُعد عبر تجاوز المسار وتلاعب بمعلمات المسار

جوهر هذه الثغرات هو عدم كفاية التحقق من صحة معلمات المسار. يمكن للمهاجمين استغلال تقنية تجاوز الدليل (Directory Traversal) للوصول إلى ملفات عادةً لا يمكن الوصول إليها. والأخطر من ذلك، أن إدخال قيم غير صحيحة في معلمات المسار قد يسمح بتنفيذ تعليمات برمجية عن بُعد (RCE) من مسافة بعيدة.

المهاجم الذي يتجاوز قيود الوصول إلى الملفات يمكنه تنفيذ أوامر عشوائية، مما يهدد استقرار النظام بأكمله. وفقًا لتقرير The Hacker News، فإن مزيج هذه الثغرات المتعددة قد يدمر نظام الأمان بالكامل.

استغلال هجمات حقن الأوامر في تفعيل ثغرات معلمات المسار

الأمر الأكثر إثارة للقلق هو أن هذه الثغرات في معلمات المسار قد تتحد مع تقنية حقن الأوامر (Prompt Injection). ببساطة، يمكن للمهاجم أن يدخل أوامر خبيثة في موجهات الذكاء الاصطناعي، مما يؤدي إلى استغلال ثغرة mcp-server-git تلقائيًا.

قد تتجسد سيناريوهات حيث ينفذ الذكاء الاصطناعي أوامر المهاجم دون أن يلاحظ المستخدم، ويقوم بتلاعب بمعلمات المسار لسرقة ملفات أو حقن برمجيات خبيثة. إن قدرة هذه الهجمات على التلقائية تزيد من مستوى التهديد بشكل كبير.

تعزيز التحقق من معلمات المسار والتحديث الفوري

قامت شركة Anthropic بتطبيق تصحيحات لهذه الثغرات الثلاثة في إصداري سبتمبر وديسمبر 2025. شملت هذه التصحيحات حذف أداة git_init وتعزيز منطق التحقق من معلمات المسار بشكل كبير.

نوصي المستخدمين بالترقية إلى أحدث إصدار في أقرب وقت ممكن. فالتدقيق الصحيح لمعلمات المسار هو إجراء أمني أساسي في بيئات السحابة وأنظمة الذكاء الاصطناعي، ويعد المراقبة المستمرة ضرورية لمنع تكرار مثل هذه الثغرات.