كشفت تقارير أمنية حديثة عن ثغرة أمنية عالية الخطورة في نظام “OpenClaw” (المعروف سابقًا باسم Clawdbot و Moltbot)، والتي قد تسمح بتنفيذ تعليمات برمجية عن بعد من خلال رابط خبيث مصمم بعناية. وتُعد هذه الثغرة ذات أهمية قصوى في مجال الأمن السيبراني.
تم تصنيف الثغرة، التي تحمل المعرف CVE-2026-25253 وبدرجة خطورة 8.8، كـ”ثغرة تسريب للرموز المميزة” تؤدي إلى “اختراق كامل للبوابة” (gateway). وقد تم معالجة المشكلة في الإصدار 2026.1.29 الذي تم إصداره في 30 يناير 2026.
ثغرة OpenClaw الأمنية وتنفيذ التعليمات البرمجية عن بعد
وفقًا لبيان صادر عن مطور OpenClaw، بيتر ستاينبرغر، فإن واجهة التحكم في النظام تثق بعنوان بوابة الـ “gatewayUrl” المستلم من سلسلة الاستعلامات دون التحقق منه، وتقوم بالاتصال تلقائيًا عند تحميل الصفحة، مما يؤدي إلى إرسال رمز الـ “gateway token” المخزن في حمولة اتصال الـ WebSocket. هذا يعني أن المستخدم قد يرسل معلومات حساسة ببساطة عن طريق النقر على رابط.
من جهة أخرى، يمكن للمهاجم من خلال رابط مصمم خصيصًا أو زيارة موقع ويب خبيث، توجيه الرمز المميز إلى خادم يتحكم فيه المهاجم. وبمجرد الحصول على هذا الرمز، يستطيع المهاجم الاتصال ببوابة جهاز الضحية، وتعديل الإعدادات مثل سياسات صندوق العزل (sandbox) والأدوات، وتنفيذ إجراءات ذات صلاحيات عالية، مما يؤدي إلى تحقيق تنفيذ تعليمات برمجية عن بعد بـ”نقرة واحدة”.
تفاصيل الثغرة وتأثيرها
يعمل OpenClaw كمساعد شخصي ذكي مفتوح المصدر يعمل بالذكاء الاصطناعي (AI) محليًا على أجهزة المستخدمين ويتكامل مع مجموعة واسعة من تطبيقات المراسلة. وعلى الرغم من إطلاقه في نوفمبر 2025، فقد اكتسب المشروع شعبية سريعة، حيث تجاوز مستودع GitHub الخاص به 149,000 نجمة.
يوضح ستاينبرغر أن OpenClaw هو “منصة وكيل مفتوحة تعمل على جهازك وتتكامل مع تطبيقات الدردشة التي تستخدمها بالفعل”. ويضيف: “على عكس المساعدين المستندين إلى SaaS حيث تعيش بياناتك على خوادم الآخرين، يعمل OpenClaw حيث تختار – على الكمبيوتر المحمول، المنزل، أو الخادم الافتراضي الخاص. بنيتك التحتية. مفاتيحك. بياناتك.”
من جانبه، أفاد ماف ليفين، الباحث الأمني المؤسس في depthfirst، والذي يُنسب إليه الفضل في اكتشاف هذه الثغرة، بأنها يمكن استغلالها لإنشاء سلسلة هجمات تنفيذ تعليمات برمجية عن بعد بـ”نقرة واحدة”، والتي لا تستغرق سوى أجزاء من الثانية بعد زيارة الضحية لصفحة ويب خبيثة واحدة.
المشكلة تكمن في أن النقر على الرابط المؤدي إلى صفحة الويب تلك يكفي لتشغيل هجوم اختطاف WebSocket من جانب العميل، لأن خادم OpenClaw لا يتحقق من رأس منشأ WebSocket. هذا يسمح للخادم بقبول الطلبات من أي موقع ويب، متجاوزًا فعليًا قيود شبكة localhost. ويمكن لصفحة ويب خبيثة استغلال هذه الثغرة لتنفيذ JavaScript من جانب العميل في متصفح الضحية، والذي يمكنه استرداد رمز المصادقة، وإنشاء اتصال WebSocket بالخادم، واستخدام الرمز المسروق لتجاوز المصادقة وتسجيل الدخول إلى مثيل OpenClaw الخاص بالضحية.
بالإضافة إلى ذلك، ومن خلال الاستفادة من نطاقات “operator.admin” و “operator.approvals” المميزة للرمز، يمكن للمهاجم استخدام واجهة برمجة التطبيقات (API) لتعطيل تأكيد المستخدم عن طريق تعيين “exec.approvals.set” إلى “off”، والهروب من الحاوية المستخدمة لتشغيل أدوات سطر الأوامر عن طريق تعيين “tools.exec.host” إلى “gateway”.
أشار ليفين إلى أن هذا “يجبر الوكيل على تشغيل الأوامر مباشرة على الجهاز المضيف، وليس داخل حاوية Docker”. وأضاف: “أخيرًا، لتحقيق تنفيذ الأوامر التعسفي، ينفذ JavaScript الخاص بالمهاجم طلب node.invoke”.
أوضح ستاينبرغر في البيان أن “الثغرة قابلة للاستغلال حتى في التكوينات التي تستمع فقط إلى الواجهة المحلية (loopback)، لأن متصفح الضحية هو من يبدأ الاتصال الصادر”. وأكد أن “هذا يؤثر على أي نشر لـ Moltbot حيث قام المستخدم بالمصادقة مع واجهة التحكم. يحصل المهاجم على وصول على مستوى المشغل لواجهة بوابة API، مما يتيح تغييرات تكوين تعسفية وتنفيذ تعليمات برمجية على مضيف البوابة. يعمل الهجوم حتى عندما ترتبط البوابة بالواجهة المحلية لأن متصفح الضحية يعمل كجسر.”