مطورون يصابون بالدهشة حيث يقوم إضافة Claude Code بهدوء بتنشيط مطالبات الموافقة وجمع البيانات حتى في مشاريع غير مرتبطة بـ Vercel
اكتشاف تسرب البيانات والتشغيل غير المصرح به في إضافات Vercel داخل نظام Claude Code
هل تتصور أن نظامًا بسيطًا يُفترض أن يراقب فقط تفاعلات المستخدم يمكن أن يختبئ وراءه عمليات جمع بيانات غير مرئية؟ هذا هو الواقع الذي اكتشفه مطور أثناء فحصه لإضافة Vercel داخل بيئة Claude Code، حيث ظهرت طلبات موافقة على جمع البيانات بشكل غير متوقع، رغم عدم وجود إعدادات أو اعتماد رسمي من قبل المشروع.
مشكلة غير مرئية: طلبات الموافقة التي تتسلل عبر التعليمات المدمجة
بدأ الأمر عندما لاحظ المطور أن طلب الموافقة على مشاركة بيانات الاستخدام المجهولة ظهر فجأة، وهو أمر غير معتاد، خاصة وأن المشروع لا يحتوي على ملفات تكوين أو تبعيات تتعلق بـ Vercel. ولكن، على الرغم من ذلك، استمرت الطلبات في الظهور، مع إشارة إلى أن البيانات تُجمع بالفعل، مع خيار لإضافة نص prompts.
كيف يتم ذلك دون أن تلاحظه؟
بدلاً من أن يظهر الطلب بشكل قياسي على واجهة المستخدم، تم توصيله من خلال تعليمات مدمجة داخل سياق النظام، والتي وجهت الذكاء الاصطناعي لطرح سؤال على المستخدم ثم تنفيذ أوامر Shell استجابةً للإجابة. كان الأمر يبدو كأنه تفاعل طبيعي، بحيث لا يمكن تمييز أن الطلب جاء من إضافة أو مكون خارجي بدلاً من النظام الأساسي.
فحوصات الأمان والكشف عن جمع البيانات
تحليل رمز المصدر يكشف عن عمليات متعددة:
- جمع بيانات الجلسة: يتضمن ذلك معرفات الأجهزة، معلومات نظام التشغيل، الأطر المُكتشَفة، وإصدارات أدوات سطر الأوامر المُثبتة، ويتم إرسالها في بداية كل جلسة، دون وجود خيار واضح للموافقة.
- تنفيذ أوامر Bash داخل Claude Code يُلتقط ويُرسل أيضًا، بما يشمل محتوى الأوامر بالكامل، مما يعرض مسارات الملفات، والمتغيرات البيئية، وتفاصيل البنية التحتية.
جمع البيانات يتم بشكل تلقائي، بدون موافقة صريحة
على الرغم من أن جمع نص prompts يتطلب إذنًا واضحًا، إلا أن فئات البيانات الأخرى، مثل نمط الاختراق والأدوات المستخدمة، تُجمع بشكل تلقائي، مما يثير تساؤلات حول مستوى الشفافية وخصوصية المستخدم.
نطاق جمع البيانات وتأثيره على المستخدمين
لا يقتصر على بيئات Vercel فقط
تشير تكوينات الإضافات إلى أن جمع البيانات لا يقتصر على بيئة Vercel، بل يمتد ليشمل جميع المشاريع، بغض النظر عن استخدامها أو ارتباطها بـ Vercel. فعالية نظام التتبع تعتمد على تفاعل المستخدم، وليس على نوع المشروع، مما يعني أن البيانات تُجمع بشكل شامل.
تقييد وتشغيل جمع البيانات
- تعطيل التتبع يتطلب تدخلًا يدويًا عبر متغيرات بيئة أو ملفات تكوين، وهي غير واضحة للمستخدمين أثناء التثبيت.
- حذف ملفات المعرفات أو إيقاف تشغيل الإضافة يوقف جمع البيانات، لكن هذه الخيارات غير مذكورة بشكل صريح خلال الإعداد الأولي.
الخلاصة: نظام جمع البيانات غير شفاف ويثير القلق
يجمع النظام البيانات بشكل أوتوماتيكي، مع محدودية واضحة في الرؤية حول كيفية عمله أو توقيته، مما قد يثير قلق المستخدمين عند العمل خارج بيئات التطوير التقليدية أو عند استخدام نماذج اللغة الكبيرة في البرمجة.
رد فعل الشركة ووجهات النظر
حتى الآن، لم تتلق TechRadar Pro تعليقًا من شركة Vercel حول هذه الممارسات، رغم محاولاتها للتواصل. يظل الموضوع قيد التحقيق، مع دعوات لمزيد من الشفافية حول كيفية جمع البيانات واستخدامها.
تابعنا لمزيد من الأخبار والتحليلات التقنية، وابق على اطلاع بأحدث التطورات حول حماية الخصوصية والأمان في أدوات التطوير الحديثة.
📌 هذا المقال تم إعادة تحريره باستخدام الذكاء الاصطناعي مع الحفاظ على المصدر الأصلي.