ผู้เชี่ยวชาญพบช่องโหว่ใน Anthropic Claude Code สามารถใช้ขโมยข้อมูลสำคัญ

ผู้เชี่ยวชาญจาก Check Point ได้ออกมาเปิดเผยถึง 3 ช่องโหว่ใน Claude Code ที่ทำให้คนร้ายสามารถขโมยข้อมูล API Keys, Credential และ นำไปสู่การเข้ายึดระบบได้ ซึ่งตอกย้ำถึงภาพของความมั่นคงปลอดภัยในระบบ AI ที่ถูกนำมาใช้ช่วยเหลือในการพัฒนาโค้ด

ช่องโหว่ที่ผู้เชี่ยวชาญพบคือคนร้ายสามารถอาศัย Claude Hooks เพื่อลอบรันโค้ดและขโมย API Keys ได้เมื่อนักพัฒนามีการ Clone หรือ เปิด โปรเจ็คที่ไม่น่าเชื่อถือ โดยถูกติดตามในช่องโหว่หมายเลข CVE-2025-59536 ด้วยคะแนนความรุนแรงระดับ 8.7/10 ตรงนี้เองถือเป็นช่องโหว่ที่มีต้นตอมาจากส่วนของการตั้งค่า Configuration ที่มีอำนาจเหนือกว่ามาตรการป้องกันที่ระบบมีด้วย

อีกจุดหนึ่งคือ CVE-2026-21852 กระทบกับฟีเจอร์ API ที่ชื่อว่า Workspaces ซึ่งช่วยเปิดการแชร์การเข้าถึงไฟล์โปรเจ็คในคลาวด์ได้กับ Key หลายๆตัว แม้คะแนนความรุนแรงจะมีเพียง 5.3/10 แต่คนร้ายก็หาทางจัดการให้เกิดการขโมยข้อมูลสำคัญ เช่น API Keys หรือเข้าถึงข้อมูลในคลาวด์ได้

ต้องบอกว่าก่อนที่ผู้เชี่ยวชาญจะเผยรายละเอียดเหล่านี้พวกเขาได้แจ้งให้ Anthropic แก้ไขไปเรียบร้อยแล้ว แต่ประเด็นที่น่าสนใจคือพวกเขาต้องการเน้นยำเกี่ยวกับภาพของความเสี่ยงใน AI ที่เป็นเครื่องมือของนักพัฒนาว่าไม่ได้จำกัดแค่การรันโค้ดที่ไม่น่าเชื่อถือ แต่ยังเกิดจากความสามารถ Automation ต่างๆได้ด้วยที่ต้องถูกนับรวมเข้ามา

ที่มา : https://devops.com/security-flaws-in-anthropics-claude-code-risk-stolen-data-system-takeover/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …

ActiveMedia ขอเชิญเข้าฟัง Webinar “Next-Generation Data Protection for Your Business” 23 ก.ค. เวลา 14:00 น.

องค์กรของคุณพร้อมรับมือกับความท้าทายด้านข้อมูลในยุคดิจิทัลแล้วหรือยัง?