TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ผู้เชี่ยวชาญจาก Check Point ได้ออกมาเปิดเผยถึง 3 ช่องโหว่ใน Claude Code ที่ทำให้คนร้ายสามารถขโมยข้อมูล API Keys, Credential และ นำไปสู่การเข้ายึดระบบได้ ซึ่งตอกย้ำถึงภาพของความมั่นคงปลอดภัยในระบบ AI ที่ถูกนำมาใช้ช่วยเหลือในการพัฒนาโค้ด
ช่องโหว่ที่ผู้เชี่ยวชาญพบคือคนร้ายสามารถอาศัย Claude Hooks เพื่อลอบรันโค้ดและขโมย API Keys ได้เมื่อนักพัฒนามีการ Clone หรือ เปิด โปรเจ็คที่ไม่น่าเชื่อถือ โดยถูกติดตามในช่องโหว่หมายเลข CVE-2025-59536 ด้วยคะแนนความรุนแรงระดับ 8.7/10 ตรงนี้เองถือเป็นช่องโหว่ที่มีต้นตอมาจากส่วนของการตั้งค่า Configuration ที่มีอำนาจเหนือกว่ามาตรการป้องกันที่ระบบมีด้วย
อีกจุดหนึ่งคือ CVE-2026-21852 กระทบกับฟีเจอร์ API ที่ชื่อว่า Workspaces ซึ่งช่วยเปิดการแชร์การเข้าถึงไฟล์โปรเจ็คในคลาวด์ได้กับ Key หลายๆตัว แม้คะแนนความรุนแรงจะมีเพียง 5.3/10 แต่คนร้ายก็หาทางจัดการให้เกิดการขโมยข้อมูลสำคัญ เช่น API Keys หรือเข้าถึงข้อมูลในคลาวด์ได้
ต้องบอกว่าก่อนที่ผู้เชี่ยวชาญจะเผยรายละเอียดเหล่านี้พวกเขาได้แจ้งให้ Anthropic แก้ไขไปเรียบร้อยแล้ว แต่ประเด็นที่น่าสนใจคือพวกเขาต้องการเน้นยำเกี่ยวกับภาพของความเสี่ยงใน AI ที่เป็นเครื่องมือของนักพัฒนาว่าไม่ได้จำกัดแค่การรันโค้ดที่ไม่น่าเชื่อถือ แต่ยังเกิดจากความสามารถ Automation ต่างๆได้ด้วยที่ต้องถูกนับรวมเข้ามา
ที่มา : https://devops.com/security-flaws-in-anthropics-claude-code-risk-stolen-data-system-takeover/
