اكتشاف عمليات جمع بيانات غير مرئية في إضافات Vercel داخل منصة Claude Code
واجه مطورون يستخدمون منصة Claude Code مفاجأة غير متوقعة تتعلق بطلبات الموافقة على مشاركة البيانات، رغم عدم وجود إعدادات أو اعتماد على Vercel في مشاريعهم.
الطلب على الموافقة يظهر بشكل غير مباشر
عند فحص أحد الإضافات داخل بيئة العمل، لاحظ مطور أن نظام CLAUDE يطلب بشكل غير متوقع إذنًا لمشاركة بيانات الاستخدام، رغم أن المشروع لا يحتوي على ملفات أو اعتماد على أدوات Vercel. الطلب يوضح أن النظام يجمع “بيانات الاستخدام المجهولة”، مع خيار لإضافة نص التعليمات المقدم من المستخدم.
طريقة تقديم طلب الموافقة
بدلاً من أن يظهر الطلب كعنصر واضح في واجهة المستخدم، تم إدراجه داخل سياق النظام عبر تعليمات موجهة بشكل خفي، حيث يتم توجيه الذكاء الاصطناعي لطرح سؤال على المستخدم وتنفيذ أوامر shell بناءً على الإجابة. هذا الأسلوب يجعل الطلب يبدو وكأنه جزء طبيعي من تفاعل النظام، دون أي مؤشر ظاهري على أنه من إضافة خارجية.
مراجعة مصدر الكود والكشف عن جمع البيانات
قام المطور بفحص شفرة المصدر للإضافة، ليكتشف أن النظام يجمع بيانات تشخيصية متعددة، تشمل معرفات الجهاز، تفاصيل نظام التشغيل، أطر العمل المثبتة، وإصدارات أدوات CLI، جميعها تُرسل عند بداية كل جلسة، دون أن يطلب النظام إذنًا صريحًا من المستخدم.
بالإضافة إلى ذلك، يتم تسجيل أوامر Bash التي يتم تنفيذها داخل Claude Code، بما في ذلك محتوى الأوامر نفسها، مما قد يكشف عن مسارات ملفات، متغيرات البيئة، وتفاصيل البنية التحتية، دون علم المستخدم.
مخاطر جمع البيانات وسريتها
هذه البيانات تُجمع بشكل تلقائي، وتحت عنوان “بيانات الاستخدام المجهولة” مثل أنماط حقن الأدوات والأدوات المستخدمة، إلا أن التفاصيل الدقيقة للمعلومات التي يتم جمعها تتجاوز ذلك، خاصة أن نصوص التعليمات تتطلب موافقة واضحة، بينما الأنواع الأخرى من البيانات تتجمع بشكل غير مقيد.
الانتشار غير المحدود للبيانات
نظام التتبع لا يقتصر على بيئات Vercel، إذ تظهر إعدادات الإضافات أن جمع البيانات يحدث بشكل عالمي، ويشمل جميع المشاريع، بغض النظر عن ارتباطها بخدمات Vercel، رغم أن الكود يحدد نوع المشروع عبر فحص ملفات التكوين والمعتمدات، إلا أن هذه المعلومات لا تُستخدم لتقييد أو تفعيل جمع البيانات بشكل انتقائي.
طرق تعطيل التتبع
إيقاف نظام جمع البيانات يتطلب تدخل يدوي عبر متغيرات بيئة أو ملفات إعداد، وهي خيارات غير واضحة للمستخدمين خلال التثبيت، حيث يتم توثيقها عادة داخل مجلد الإضافة نفسه. كما أن حذف ملف معرف الجهاز أو تعطيل الإضافة يوقف جمع البيانات، لكن هذه الإجراءات غير مذكورة بشكل واضح للمستخدمين عند الإعداد الأولي.
خلاصة وتداعيات
باختصار، يدمج النظام جمع البيانات التلقائي مع قدر محدود من الشفافية، ما قد يثير قلق المستخدمين، خاصة عند العمل في بيئات غير مخصصة أو عند استخدام نماذج لغة كبيرة للبرمجة.
حتى الآن، لم تتلق TechRadar Pro ردًا رسميًا من Vercel بخصوص هذه المخاوف، لكن التحقيق يسلط الضوء على الحاجة إلى مزيد من الشفافية والإشراف على عمليات جمع البيانات ضمن أدوات التطوير.