الذكاء الاصطناعي والتقنية 10-Jun-2026 6 دقائق قراءة

ثغرة في محرر VS Code عبر المتصفح لدى GitHub قد تكشف رموز وصول المطورين

كشف باحث أمني عن ثغرة في نسخة GitHub.dev من محرر VS Code تعمل عبر المتصفح، وقال إنها قد تسمح في ظروف معينة بسرقة رمز وصول المطور والوصول إلى مستودعاته الخاصة. واستجابت Microsoft بتحديث احترازي، فيما أعاد الحادث فتح النقاش حول مسؤولية الإفصاح عن الثغرات ومواعيد الإبلاغ عنها.

ثغرة في محرر GitHub عبر المتصفح

أثارت ثغرة أمنية جديدة مرتبطة بمحرر VS Code الذي يقدمه GitHub عبر المتصفح مخاوف لدى مجتمع المطورين وخبراء الأمن، بعدما حذر باحث من أنها قد تتيح، في ظروف محددة، الاستحواذ على رمز وصول يخص المستخدم. ويُعد هذا الرمز بوابة مهمة للوصول إلى خدمات GitHub المختلفة، بما في ذلك المستودعات الخاصة التي يملك المطور صلاحية الدخول إليها.

المشكلة تكتسب أهميتها من كونها تمس بيئة يعتمد عليها كثير من المطورين لإنجاز مهام سريعة من دون الحاجة إلى تنزيل المستودع محلياً. ومع أن النسخة المتصفح من VS Code توفر أدوات مفيدة للتصفح والتحرير والمراجعة، فإنها في الوقت نفسه تحمل سطح هجوم يتطلب عناية أمنية دقيقة، خصوصاً عندما تكون مرتبطة ببيانات اعتماد تمنح صلاحيات واسعة.

كيف تعمل البيئة وما الذي يجعلها حساسة

يمكن للمستخدم الانتقال من صفحات GitHub العادية إلى بيئة github.dev ببساطة عبر تعديل العنوان في المتصفح، ثم استخدام واجهة VS Code لتنفيذ عدد من المهام داخل المستودع. هذه التجربة تجعل العمل أسرع، لكنها تعتمد أيضاً على تدفق رموز مصادقة بين النطاقات المختلفة لدى GitHub، وهو ما اعتبره الباحث نقطة حساسة إذا لم تُضبط الصلاحيات بدقة.

بحسب ما ورد في التحليل الأمني، فإن الرمز الذي يُمرَّر إلى بيئة المتصفح لا يبدو مقصوراً على المستودع الذي بدأ منه المستخدم، بل قد يمنح صلاحية أوسع على المستودعات الأخرى التي يستطيع المستخدم الوصول إليها. هذا النوع من التوسّع في الصلاحيات هو ما يجعل أخطاء المتصفح أو حقن الشيفرات أو الإضافات الخبيثة خطراً مضاعفاً، لأن الاستغلال قد ينتقل من صفحة واحدة إلى كامل حساب المطور تقريباً.

سيناريو الاستغلال المحتمل

شرح الباحث أن مهاجماً قد يستغل مستودعاً يحتوي على دفتر Jupyter أو محتوى تفاعلي آخر، ثم يدفع المستخدم إلى فتحه داخل بيئة الويب. وفي هذا السيناريو، قد يتمكن الامتداد أو الحمولة الخبيثة من تجاوز فحص الثقة الخاص بالناشر وتثبيت مكوّن محلي ضار، ثم استخراج رمز GitHub API المخزن في الجلسة.

بعد الحصول على الرمز، يمكن للهجوم أن ينتقل إلى مرحلة أشد خطورة، مثل الاستعلام عن المستودعات الخاصة التي يمكن للمستخدم الوصول إليها، أو تنفيذ عمليات قراءة وتعديل بحسب مستوى الصلاحية المتاح. ويشير ذلك إلى أن الثغرة، إذا استُغلت قبل معالجتها، لم تكن لتبقى مشكلة تقنية محدودة، بل يمكن أن تتحول إلى تهديد مباشر لسلامة الشيفرات البرمجية والمشاريع الخاصة.

ماذا عن نسخة سطح المكتب من VS Code

لم تقتصر المخاوف على النسخة المستندة إلى المتصفح، إذ ذكر الباحث أن الأثر الأمني قد يمتد أيضاً إلى إصدار سطح المكتب من VS Code، وإن كان استغلاله أصعب عملياً. ففي هذه الحالة، يحتاج المهاجم إلى إقناع الضحية باستنساخ مستودع محدد وفتح دفتر يحتوي على الحمولة المطلوبة داخل بيئة العمل.

ورغم أن هذه الخطوة أكثر تعقيداً من سيناريو الويب، فإن الخطر يظل قائماً إذا وُجدت ثغرات أخرى من نوع XSS داخل مكوّن ويب مرتبط بالمحرر. عندها قد تتضاعف النتائج الخطرة لتصل إلى تنفيذ أوامر أوسع على الجهاز المحلي، وهو ما يوضح كيف يمكن لثغرة واحدة أن تتقاطع مع أخطاء أخرى وتزيد مستوى التهديد بشكل كبير.

استجابة Microsoft والتحديث الاحترازي

وفقاً لما أعلنه الباحث، فقد تم التعامل مع المشكلة بالفعل من قبل Microsoft، المالكة لـ GitHub، عبر إجراء احترازي سريع بدلاً من انتظار إصلاح كامل ونهائي. وشملت الخطوة إضافة تأكيد إضافي عند فتح دفاتر Jupyter داخل محرر VS Code عبر الويب، إلى جانب منع تجاوز شرط «الناشر الموثوق» عبر بعض الأوامر التي كان يمكن أن تُستخدم لتسهيل الاستغلال.

هذا النوع من المعالجات المرحلية شائع في الثغرات التي يُخشى استغلالها بسرعة، لأنه يقلل من مساحة الهجوم إلى أن يُنجز الإصلاح الكامل. لكن الحادثة، رغم ذلك، كشفت أن اعتماد المطورين على أدوات سحابية مدمجة بالمصادقة والامتيازات الواسعة يتطلب مراجعة مستمرة لحدود الأمان، خصوصاً حين تتصل الأداة مباشرة ببيانات اعتماد حساسة.

جدل الإفصاح المسؤول عن الثغرات

أحد الجوانب اللافتة في القضية لم يكن تقنياً فقط، بل أخلاقي أيضاً. فالتحذير جاء مع نقاش جديد حول المدة التي ينبغي أن يمنحها الباحث الأمني للشركة قبل نشر التفاصيل علناً. وقال الباحث إنه لم يمنح GitHub سوى مهلة قصيرة هذه المرة، بعد تجربة سابقة شعر فيها بأن اكتشافه السابق لم يُقدَّر بما يكفي.

في المقابل، يرى كثير من المتخصصين أن الإبلاغ المسبق شرط أساسي لتجنب إساءة الاستخدام، وأن عادة ما تمنح الشركات مهلة قد تمتد لثلاثين يوماً أو أكثر لتقييم الخطر وإعداد التحديثات. غير أن هذا التوازن ليس سهلاً دائماً، خصوصاً عندما يعتقد الباحث أن الجهة المالكة لا تتعامل بجدية كافية مع البلاغات، أو عندما يشعر بأن جهده لا يقابل بالاعتراف أو التقدير.

ما الذي تعنيه الحادثة لفرق التطوير والأمن

تسلط هذه الثغرة الضوء على حقيقة باتت أكثر وضوحاً في بيئات التطوير الحديثة: الأدوات التي تسهّل العمل يمكن أن تصبح في الوقت نفسه نقاط ضعف إذا لم تُصمم وفق مبدأ الحد الأدنى من الصلاحيات. فمجرد امتلاك رمز وصول غير مقيد على نحو كافٍ قد يفتح الباب أمام قراءة مستودعات خاصة أو تعديل شيفرات حيوية أو اختراق سلسلة توريد برمجية كاملة.

كما تذكّر الحادثة بأن مسؤولية الأمان لا تقع على المطورين وحدهم، بل تشمل الشركات المزودة للأدوات، والباحثين الأمنيين، وفرق العمليات، وكل من يتعامل مع مفاتيح الوصول والبيئات السحابية. وفي بيئات DevOps المعاصرة، يصبح التدقيق في حدود الجلسات، ونطاق الرموز، وآليات الثقة، وأسلوب التعامل مع الإضافات أمراً لا يقل أهمية عن كتابة الشيفرة نفسها.

الرسالة العملية من هذه الواقعة واضحة: كلما زادت راحة أدوات التطوير داخل المتصفح، زادت الحاجة إلى ضوابط أمنية أكثر صرامة، وإلى سياسات إفصاح أكثر توازناً، وإلى مراجعة مستمرة لكيفية منح الرموز وتخزينها واستخدامها عبر المنصات المختلفة.

المواضيع

DevOps GitHub Microsoft VS Code الإفصاح المسؤول الأمن السيبراني الثغرات الأمنية رموز الوصول

مقالات أخرى في قسم الذكاء الاصطناعي والتقنية