تم اختراق وظيفة الحيوانات الأليفة الجديدة في كلاود خلال أقل من يوم من إطلاقها: المجتمع يطور أداة إعادة السحب مفتوحة المصدر، واللوح الأبيض يتحول بسرعة إلى أسطورة لامعة

وفقًا لمراقبة 1M AI News، تم إطلاق ميزة “الزميل/الصاحب” (buddy) الجديدة في Claude Code لساعات قليلة، وبعد ذلك مباشرةً وجد مجتمع المطورين طريقة لإعادة الاستخلاص من تسريبات الشيفرة المصدرية، وانتشرت أدوات مفتوحة المصدر ودروس إرشادية على منصات مثل Linux.do وV2EX وGitHub وغيرها.

حاليًا توجد على الأقل طريقتان لإعادة الاستخلاص. إحداهما تستهدف قيمة الملح الثابتة (salt) في خوارزمية توليد “الحيوان الأليف”، حيث يتم ترميز هذه القيمة ضمن ناتج تجميع Claude Code حرفيًا بطول 15 حرفًا، ويمكن تغيير البذرة العشوائية عبر استبدالها ببديل بنفس الطول؛ وبعد التعداد بالعنف يتم العثور على قيمة الحيوان الأليف الهدف وكتابتها. والأخرى تستغل اختلاف مسار المصادقة: عند تسجيل دخول المستخدمين المشتركين بشكل طبيعي، تقوم الجهة الخدمية بإرسال accountUuid كـ “بذرة” للحيوان الأليف ولا يمكن العبث بها، ولكن عند المصادقة عبر متغيرات البيئة لا يتم كتابة هذه القيمة في إعدادات محلية، فيقوم النظام كحل بديل بقراءة حقل userID القابل للتعديل بحرية.

طريقة تغيير salt هي الأكثر هشاشة؛ إذ سيتم تغطيتها في تحديث Claude Code القادم. كما أن تغيير userID بالنسبة للمستخدمين المشتركين له فترة صلاحية أيضًا، ويمكن لـ Anthropic سد الثغرة بإضافة منطق لكتابة accountUuid الخاص بمسار متغيرات البيئة. أما مستخدمو واجهة البرمجة التطبيقية (باستخدام مصادقة باستخدام مفتاح API خاص) فلا يوجد لديهم accountUuid بشكل طبيعي؛ فيمكنهم تعديل userID مباشرةً مع نافذة أطول نسبيًا، لكن يمكن لـ Anthropic أيضًا سد الثغرة عبر توليد معرّف ثابت من خلال تجزئة مفتاح API. لا يتم تخزين بيانات الهيكل محليًا؛ بل يتم حسابها لحظيًا في كل عملية بدء، ويمكن لأي ترقيع من جهة خدمية أن يسري فورًا.

بالإضافة إلى ذلك، لا يخدم userID نظام الحيوانات الأليفة فحسب. تُظهر الشيفرة المسربة أن تقارير القياس عن بُعد وتقسيم تجارب A/B يقرأان القيمة نفسها أيضًا؛ وقد يؤدي تعديلها إلى حدوث خلل في ميزات التجارب أو إلى انقطاع بيانات الاستخدام.