Claude Desktop kengaytmalarida xavfli RCE zaifliklar aniqlandi: xakerlar foydalanuvchi kompyuterida kod ishga tushirishi mumkin edi

Sun’iy intellekt asosidagi xizmatlar tobora hayotimizga chuqur kirib borar ekan, AI ekotizimidagi xavfsizlik masalasi ham dolzarb mavzuga aylanmoqda. Shu bois, Anthropic kompaniyasining Claude Desktop ilovasi uchun rasmiy ravishda taqdim etilgan uchta kengaytmada (Chrome, iMessage va Apple Notes connectorlari) aniqlangan xavfli zaiflik kiberxavfsizlik sohasida jiddiy muhokamalarga sabab bo‘ldi.

CVE bahosi 8.9 ball bilan qayd etilgan ushbu zaifliklar orqali xakerlar foydalanuvchilarning qurilmalarida masofadan turib zararli kod (RCE) ishga tushirishi, tizimga kirib olishlari va maxfiy ma’lumotlarni qo‘lga kiritishlari mumkin edi. Kengaytmalar Anthropic marketplace’ida eng yuqori tavsiya qilingan rasmiy vositalar bo‘lgani sabab, tahdid yanada xavfli tus olgan.

Yaxshi tomoni — Anthropic tezkor choralar ko‘rib, barcha aniqlangan zaifliklarni bartaraf etdi.

AI kengaytmalaridagi xavf: yangi qulaylik — yangi tahdidmi?

Claude Desktop kengaytmalari MCP serverlari sifatida .mcpb paketlar ko‘rinishida tarqatiladi. Ularni o‘rnatish Google Chrome kengaytmasini o‘rnatishga o‘xshash bir necha soniya vaqt oladi, ammo asosiy farq shundaki, ular sandbox muhitisiz — to‘liq tizim huquqlari bilan ishlaydi.

Bu esa kengaytmalarni foydalanuvchi nomidan:

fayllarni o‘qish,
tizim buyruqlarini bajarish,
parollar, kalitlar, tokenlar va sozlamalarga kirish

imkoniyatiga ega kuchli vositaga aylantiradi.

Aynan shu ishonchli vakolatlar zararli kodni ishga tushirish uchun ideal muhit bo‘lib xizmat qildi.

Zaiflik qanday yuzaga kelgan?

Tadqiqotchi kompaniya KOI Security aniqlashicha, kengaytmalar foydalanuvchi tomonidan yuborilgan URL yoki matnlarni tozalash (sanitizatsiya) qilmasdan bevosita AppleScript buyruqlariga qo‘shgan.

Masalan, Chrome kengaytmasi quyidagi buyruqni bajarish orqali URL ochadi:

tell application "Google Chrome" to open location "<URL>"

Bu yerda xaker qator chegarasidan chiqib, AppleScript ichiga o‘zining zararli buyruqlarini qo‘shishi, u orqali esa terminal buyruqlarini ishga tushirishi mumkin bo‘lgan.

Bu — klassik command injection usuli. Tarixi 30 yildan oshganiga qaramay, bugungi kunda ham ishlab turgan kodda uchrashi xavotirli holat.

Eng xavflisi: foydalanuvchi hech narsa yozmasa ham hujum amalga oshishi mumkin

Bu zaiflik faqat foydalanuvchi noto‘g‘ri buyruq yozganda ishga tushadi, deb o‘ylash xato. Asl xavfli ssenariy boshqacha:

Foydalanuvchi Claude’dan biror mavzu haqida ma’lumot so‘raydi.
Claude javobni to‘ldirish uchun internetdan maqola ochadi.
Hujumchi ushbu sahifaga Claude foydalanuvchi-agentini aniqlab, zararli kodni yashirin joylashtiradi.
Claude sahifadagi “ko‘makchi ko‘rsatmalarni” foydali deb o‘ylab, Chrome connectoriga yuboradi.
Zaiflik ishga tushadi va xaker foydalanuvchi kompyuterida kod bajaradi.

Natijada xaker quyidagilarni jim va sezilmas ravishda amalga oshirishi mumkin:

SSH kalitlarini o‘g‘irlash
AWS, GitHub, Google Cloud kabi xizmatlar tokenlarini qo‘lga kiritish
brauzer parollarini chiqarib olish
backdoor o‘rnatish

Hech qanday phishing, fayl yuklash yoki dastur o‘rnatish talab qilinmaydi — oddiy AI savolining o‘zi kifoya.

AI ekotizimida yangi xavfsizlik bosqichi zarur

Anthropic o‘z kengaytmalarini tezkor ravishda yangilagani tahdidni kamaytirdi. Ammo ushbu voqea katta masalani yuzaga chiqardi:

AI kengaytmalarining aksariyati hali to‘liq xavfsizlik auditidan o‘tmayapti, biroq ular tizimda to‘liq huquq bilan ishlamoqda.

Agar marketplace tez sur’atlarda mustaqil developerlar bilan to‘lsa, nazoratsiz, ammo yuqori tizim huquqlariga ega kengaytmalar xavfi keskin oshadi.

Foydalanuvchilarga tavsiyalar

🔒 Kengaytmalarni o‘rnatishda ehtiyot bo‘ling — ularni oddiy plugin emas, tizim darajasida ishlaydigan executable deb qarang.
♻️ Tez-tez yangilang — ayniqsa AI ekotizimidagi integratsiyalar tez-tez xavfsizlik yamoqlarini oladi.
🛑 Noaniq manbadan kelgan MCP kengaytmalarni o‘rnatmang.
🧑‍💻 IT bo‘limlar uchun: AI kengaytmalarini ham “software inventory” ro‘yxatiga qo‘shing va xavfsizlik siyosatiga kiritib qo‘ying.

Claude Desktop uchun aniqlangan RCE zaifliklari AI platformalaridagi kengaytmalar qanday kuchga ega ekani va ularning noto‘g‘ri dizayni qanday yuqori xavf tug‘dirishini yana bir bor isbotladi.

AI texnologiyalari tez sur’atlar bilan rivojlanar ekan, xavfsizlik ham shuncha tezkor, qat’iy va chuqur yondashuvni talab qiladi.

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Claude Desktop kengaytmalarida xavfli RCE zaifliklar aniqlandi: xakerlar foydalanuvchi kompyuterida kod ishga tushirishi mumkin edi

AI kengaytmalaridagi xavf: yangi qulaylik — yangi tahdidmi?

Zaiflik qanday yuzaga kelgan?

Eng xavflisi: foydalanuvchi hech narsa yozmasa ham hujum amalga oshishi mumkin

AI ekotizimida yangi xavfsizlik bosqichi zarur

Foydalanuvchilarga tavsiyalar

AI kengaytmalaridagi xavf: yangi qulaylik — yangi tahdidmi?

Zaiflik qanday yuzaga kelgan?

Eng xavflisi: foydalanuvchi hech narsa yozmasa ham hujum amalga oshishi mumkin

AI ekotizimida yangi xavfsizlik bosqichi zarur

Foydalanuvchilarga tavsiyalar

NVIDIA App for Windows dasturida xavfli zaiflik: hujumchilar tizimga zararli kod joylashtirishi mumkin

Cisco Identity Services Engine (ISE) tizimidagi zaiflik: tarmoqni to‘liq ishdan chiqarishi mumkin bo‘lgan zaiflik

Cisco Unified Contact Center Express: Masofadan hujum qilish imkonini beruvchi zaifliklar