Skip to main content
Hermes Banner 2
VECTOR 02
747x1024 DIABASTE DWREAN SEC CYP 21
DIGTV 214 COVER
4 Μαρτίου 2026 11:16

Εύκολη η παραβίαση έργων λογισμικού από τους χάκερς

hackers ad541ab9

Η εποχή που βρισκόμαστε περιτριγυρίζεται από την τεχνολογία που μπορεί να παραβιαστεί εύκολα και ειδικά από τους χάκερς που βρίσκουν αρκετούς τρόπους για να πάρουν αυτό που θέλουν.

Συγκεκριμένα η ανάπτυξη λογισμικού στην εποχή της τεχνητής νοημοσύνης βασίζεται όλο και περισσότερο σε αυτοματοποιημένα εργαλεία. Όμως, η ίδια αυτή αυτοματοποίηση μπορεί να μετατραπεί σε σημείο εισόδου για επιθέσεις.

Η Check Point Research (CPR) αποκάλυψε κρίσιμες ευπάθειες ασφαλείας στο Claude Code, το εργαλείο ανάπτυξης λογισμικού της Anthropic, το οποίο χρησιμοποιείται από δεκάδες εκατομμύρια χρήστες μηνιαίως. Οι αδυναμίες επέτρεπαν σε επιτιθέμενους να εκτελούν εξ αποστάσεως κώδικα και να αποσπούν κλειδιά API, χωρίς ο προγραμματιστής να κατεβάσει ή να τρέξει κάποιο ύποπτο πρόγραμμα – αρκούσε να ανοίξει ένα παραβιασμένο αποθετήριο κώδικα. Όλα τα ευρήματα κοινοποιήθηκαν υπεύθυνα στην Anthropic και διορθώθηκαν πριν δημοσιοποιηθούν.

Στην καρδιά της υπόθεσης βρίσκεται ο τρόπος με τον οποίο τα σύγχρονα εργαλεία ανάπτυξης βασίζονται σε μηχανισμούς αυτοματισμού. Η Check Point εντόπισε την ευπάθεια CVE-2025-59536, μέσω της οποίας οι μηχανισμοί αυτοματισμού του Claude Code μπορούσαν να ενεργοποιηθούν αθόρυβα κατά την εκκίνηση ενός project.

Με άλλα λόγια, το άνοιγμα ενός project μπορούσε να προκαλέσει την εκτέλεση κρυφών εντολών shell χωρίς καμία ορατή ειδοποίηση στον χρήστη. Ο προγραμματιστής δεν χρειαζόταν να πατήσει «run», ούτε να αποδεχθεί κάποια προειδοποίηση – η διαδικασία μπορούσε να ξεκινήσει αυτόματα.

Η έρευνα αποκάλυψε και δεύτερο επίπεδο κινδύνου: την παράκαμψη συναίνεσης χρήστη. Συγκεκριμένες ρυθμίσεις αποθετηρίου ήταν δυνατόν να παρακάμψουν τους ενσωματωμένους ελέγχους εγκρίσεων του Model Context Protocol (MCP). Αυτό σήμαινε ότι εξωτερικές υπηρεσίες μπορούσαν να ενεργοποιηθούν πριν ο χρήστης δώσει άδεια, ακυρώνοντας πρακτικά τον μηχανισμό προστασίας εμπιστοσύνης, που υποτίθεται ότι προϋπήρχε.

hacker

Πως γίνεται η κλοπή των κλειδιών API

Το πιο σοβαρό εύρημα αφορούσε την κλοπή κλειδιών API, που καταγράφηκε ως CVE-2026-21852. Οι ερευνητές διαπίστωσαν ότι η κυκλοφορία API – ακόμη και πλήρη headers αυθεντικοποίησης – μπορούσε να ανακατευθυνθεί σε server υπό τον έλεγχο επιτιθέμενου. Κι αυτό μπορούσε να συμβεί πριν ο χρήστης επιβεβαιώσει ότι εμπιστεύεται το project που άνοιξε. Με απλά λόγια, ένας προγραμματιστής μπορούσε να χάσει τα διαπιστευτήριά του απλώς ανοίγοντας έναν φάκελο κώδικα.

Οι επιπτώσεις γίνονται ιδιαίτερα σοβαρές σε εταιρικά περιβάλλοντα. Ένα μόνο κλεμμένο κλειδί API σε εταιρικό workspace της Anthropic θα μπορούσε να επιτρέψει πρόσβαση σε κοινόχρηστα αρχεία, τροποποίηση ή διαγραφή τους, αλλά και δημιουργία μη εξουσιοδοτημένων χρεώσεων. Δηλαδή η επίθεση δεν περιοριζόταν στον υπολογιστή ενός προγραμματιστή, αλλά μπορούσε να επεκταθεί σε ολόκληρο οργανισμό.

Όπως τονίζει η Check Point, η υπόθεση αποτυπώνει μια βαθύτερη αλλαγή: τα εργαλεία ανάπτυξης λογισμικού με τεχνητή νοημοσύνη δεν αποτελούν πλέον βοηθητικά εργαλεία, αλλά βασική υποδομή. Όπως σημειώνει, οι οργανισμοί, που υιοθετούν AI με γρήγορους ρυθμούς, πρέπει να εξελίσσουν την ασφάλειά τους με τον ίδιο ρυθμό.

Μετά την ενημέρωση από την Check Point s, η Anthropic προχώρησε σε διορθώσεις. Ενίσχυσε τις διαδικασίες έγκρισης εμπιστοσύνης χρήστη, απαγόρευσε την εκτέλεση εξωτερικών εργαλείων πριν από ρητή άδεια και μπλόκαρε επικοινωνίες API έως ότου επιβεβαιωθεί η συγκατάθεση του χρήστη στο project.

Η υπόθεση, ωστόσο, ξεπερνά ένα μεμονωμένο εργαλείο. Τα ευρήματα αναδεικνύουν μια νέα πραγματικότητα στην αλυσίδα εφοδιασμού λογισμικού. Τα αρχεία ρυθμίσεων αποθετηρίου, που μέχρι πρόσφατα θεωρούνταν απλό μεταδεδομένο, μπορούν πλέον να επηρεάζουν την εκτέλεση εντολών, τη δικτύωση και τα δικαιώματα πρόσβασης.

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

SECURITY REPORT, Ιούλιος 2026
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Ιουλίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχος, θα βρείτε ενδιαφέροντα θέματα που απευθύνοντ…
4G κάμερες με Solar Panel
Η τεχνολογία στον τομέα της ασφάλειας και της επιτήρησης έχει εξελιχθεί σημαντικά, καλύπτοντας πλέον πολλές ανάγκες ακόμη και σε σημεία που δεν είναι εύκολα προσβάσιμα. Συγκεκριμένα, σε οποιαδήποτε…
“ALL IN, ALL WIN!”
Μία λαμπερή παρουσίαση, γεμάτη προηγμένη τεχνολογία, πραγματοποίησε η Dahua Technology Greece το απόγευμα της Τρίτης, 9 Ιουνίου, στο Gazarte στην Αθήνα, με το Security Report να δίνει το «παρών»…
Το Ajax Roadshow επέστρεψε στην Αθήνα
Η συνάντηση της Ajax Systems με τους επαγγελματίες της Αθήνας ανανεώθηκε και φέτος στο Ajax Roadshow in Athens, το οποίο διοργανώθηκε στο Eleon Loft την Παρασκευή, 15 Μαΐου. Νέες λύσεις, προϊόντα, π…
G.I. Security & Tiandy Technologies: Στην επιτήρηση και την ασφάλεια δεν υπάρχουν περιορισμοί!
Την Παρασκευή 29 Μαΐου, η G.I. Security πραγματοποίησε μια μοναδική εκδήλωση σε συνεργασία με την TiandyTechnologies στο κτήμα Κρωπίας Γη. Τεχνικοί και εγκαταστάτες γνώρισαν νέες λύσεις και προϊόντα…
ELDES ESIM484: Επιτυχία για ακόμα ένα hands-on τεχνικό σεμινάριο από την SMATECH
Το Σάββατο, 16 Μαΐου στο Titania Hotel πραγματοποιήθηκε ένα σεμινάριο από την SMATECH by TexDesigns για να μπορέσουν τεχνικοί και εγκαταστάτες να γνωρίσουν επί του πρακτέου το σύστημα ESIM484. Το εν…
Imou & Oktabit: Παρουσίαση νέων λύσεων έξυπνης ασφάλειας στην Ελλάδα
Τη Δευτέρα 18 Μαΐου, η Imou και η Oktabit πραγματοποίησαν μία εντυπωσιακή εκδήλωση στο Royal Olympic Hotel με σκοπό την ανάδειξη της ταχείας επέκτασης του brand Imou και την ανακοίνωση της νέας σειρ…
P.S.T. Hellas Security: Στόχος η συνεχής εξέλιξη σε όλα τα επίπεδα
Το Security Report συνομίλησε αυτόν τον μήνα με τον Ταντσιούρα Κωνσταντίνο, SecurityManager της επιχείρησης P.S.T. Hellas Security. Τα 20 έτη εμπειρίας, ο επαγγελματισμός, η άμεση ανταπόκριση και η…
Επαγγελματικά συστήματα ελέγχου πρόσβασης: Από τον έλεγχο θυρών στα ολοκληρωμένα οικοσυστήματα ασφαλείας
Η λογική λειτουργίας ενός επαγγελματικού συστήματος ελέγχου πρόσβασης είναι απλή αλλά ιδιαίτερα αποτελεσματική. Ο χρήστης παρουσιάζει κάρτα, mobile credential ή βιομετρικό στοιχείο στον αναγνώστη. Ο…

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report Cyprus, τεύχος 20
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Cyprus! Στο νέο τεύχος 20 του Security Report Cyprus θα βρείτε ενδιαφέροντα θέματα που απευθύνονται σε κάθε τεχνικό…
IP θυροτηλεοράσεις: Πλεονεκτήματα και Σενάρια Εφαρμογής
Ένα σύστημα θυροτηλεόρασης αποτελεί βασικό και απαραίτητο συστατικό στοιχείο για την ασφάλεια πολυκατοικιών, ιδιωτικών κατοικιών, επαγγελματικών χώρων και επιχειρήσεων. Προσφέρει τη δυνατότητα ελέγχ…
10 χρόνια σταθερής αξίας και ανάπτυξης στην Κύπρο για την Vector Security
Μια δεκαετία επιτυχημένης διαδρομής, βασισμένη στην εμπιστοσύνη, την τεχνογνωσία και τις στρατηγικές επενδύσεις. Η συμπλήρωση δέκα ετών παρουσίας σε μια απαιτητική αγορά, όπως αυτή της Κύπρου, δε…
Συμβατικά Συστήματα Πυρανίχνευσης EN-54: Πλήρης οδηγός λειτουργίας & εξαρτημάτων για αρχάριους και επαγγελματίες
Η προστασία της ζωής και της περιουσίας δεν είναι ζήτημα τύχης, αλλά σωστού σχεδιασμού. Τα συμβατικά συστήματα πυρανίχνευσης παραμένουν η «ραχοκοκαλιά» της πυρασφάλειας παγκοσμίως. Συνδυάζοντας την…
INIM Emergency Lighting: Όταν η ασφάλεια συναντά το φως!
Η σειρά προϊόντων φωτισμού ασφαλείας της INIM αποτελεί ολοκληρωμένη πρόταση σηματοδότησης για αξιόπιστη και αποδοτική διαχείριση της εκκένωσης κάθε εγκατάστασης σε περίπτωση έκτακτης ανάγκης. Είναι…
Επισκόπηση απορρήτου

Αυτός ο ιστότοπος χρησιμοποιεί cookie ώστε να μπορούμε να σας παρέχουμε την καλύτερη δυνατή εμπειρία χρήστη. Οι πληροφορίες cookie αποθηκεύονται στο πρόγραμμα περιήγησης σας και εκτελούν λειτουργίες όπως η ανάγνωση σας όταν επιστρέφετε στον ιστότοπο μας και η βοήθεια της ομάδας μας να κατανοήσει ποιες ενότητες του ιστοτόπου θεωρείτε πιο ενδιαφέρουσες και χρήσιμες.