أعلنت شركة OpenClaw، المعروفة سابقاً باسم Moltbot و Clawdbot، عن شراكة استراتيجية مع VirusTotal، التابعة لشركة جوجل، بهدف تعزيز أمن النظام البيئي للوكلاء الذكيين. تشمل هذه الشراكة فحص كافة المهارات التي يتم تحميلها على منصة ClawHub، سوق المهارات الخاص بـ OpenClaw، لضمان خلوها من أي تهديدات.
قال بيتر شتاينبرغر، مؤسس OpenClaw، بالاشتراك مع جاميسون أوريلي وبرناردو كينتيرو، أن “جميع المهارات المنشورة على ClawHub يتم فحصها الآن باستخدام استخبارات التهديدات لدى VirusTotal، بما في ذلك قدرتها الجديدة Code Insight. يوفر هذا طبقة إضافية من الأمان لمجتمع OpenClaw.”
تعزيز أمن المهارات عبر VirusTotal
تتضمن العملية إنشاء تجزئة SHA-256 فريدة لكل مهارة والتحقق منها مقابل قاعدة بيانات VirusTotal. في حال عدم وجود تطابق، يتم تحميل حزمة المهارة إلى أداة فحص البرامج الضارة لإجراء تحليل أعمق باستخدام VirusTotal Code Insight.
تتم الموافقة تلقائياً على المهارات التي تحصل على نتيجة “آمنة” من Code Insight، بينما يتم وضع علامة تحذير على المهارات التي يُنظر إليها على أنها مشبوهة. أما المهارات التي تُعتبر خبيثة، فيتم حظرها من التنزيل. وأكدت OpenClaw أيضاً أنه تتم إعادة فحص جميع المهارات النشطة يومياً لاكتشاف أي تغييرات قد تجعل المهارة آمنة تتحول إلى خبيثة.
على الرغم من الإجراءات الوقائية، حذر المشرفون على OpenClaw من أن فحص VirusTotal “ليس حلاً سحرياً” وأنه قد تفلت بعض المهارات الخبيثة التي تستخدم تقنيات حقن الأوامر (prompt injection) المتخفية بذكاء.
جهود إضافية لتحصين النظام البيئي
بالإضافة إلى الشراكة مع VirusTotal، من المتوقع أن تنشر المنصة نموذج تهديدات شامل، وخارطة طريق أمنية عامة، وعملية رسمية للإبلاغ عن المشاكل الأمنية، بالإضافة إلى تفاصيل حول مراجعة أمنية لشفرتها البرمجية بالكامل.
يأتي هذا التطور في أعقاب تقارير كشفت عن وجود مئات المهارات الخبيثة على ClawHub، مما دفع OpenClaw إلى إضافة خيار الإبلاغ الذي يسمح للمستخدمين المسجلين بالإبلاغ عن المهارات المشبوهة. وقد أظهرت تحليلات متعددة أن هذه المهارات تتنكر كأدوات شرعية، ولكنها في الخفاء تحتوي على وظائف خبيثة لاستخلاص البيانات، أو حقن أبواب خلفية للوصول عن بعد، أو تثبيت برامج ضارة.
أشارت شركة سيسكو مؤخراً إلى أن “الوكلاء الذكاء الاصطناعي الذين لديهم وصول إلى النظام يمكن أن يصبحوا قنوات سرية لتسريب البيانات تتجاوز أنظمة منع فقدان البيانات التقليدية، والوكلاء، ومراقبة نقاط النهاية.” وأضافت أن “النماذج يمكن أن تصبح أيضاً منسقاً للتنفيذ، حيث يصبح الأمر نفسه هو التعليمات ومن الصعب اكتشافه باستخدام أدوات الأمان التقليدية.”
مخاوف أمنية متزايدة
أثارت الشعبية الفيروسية الأخيرة لـ OpenClaw، المساعد الذكي مفتوح المصدر للذكاء الاصطناعي، و Moltbook، وهي شبكة اجتماعية مجاورة حيث تتفاعل الوكلاء الذكية المستقلة المبنية على OpenClaw مع بعضها البعض على منصة تشبه Reddit، مخاوف أمنية.
بينما تعمل OpenClaw كمحرك أتمتة لتشغيل سير العمل، والتفاعل مع الخدمات عبر الإنترنت، والعمل عبر الأجهزة، فإن الوصول الراسخ الممنوح للمهارات، جنباً إلى جنب مع حقيقة أنها يمكنها معالجة البيانات من مصادر غير موثوقة، يمكن أن يفتح الباب لمخاطر مثل البرامج الضارة وحقن الأوامر.
بمعنى آخر، تعمل هذه التكاملات، على الرغم من سهولتها، على توسيع سطح الهجوم بشكل كبير وتزيد من مجموعة المدخلات غير الموثوق بها التي يستهلكها الوكيل، مما يحولها إلى “حصان طروادة وكيل” لاستخلاص البيانات والإجراءات الخبيثة الأخرى. وصف Backslash Security نظام OpenClaw بأنه “ذكاء اصطناعي لديه أيدٍ”.
أوضحت OpenClaw: “بخلاف البرامج التقليدية التي تفعل بالضبط ما تخبر به الشفرة، فإن الوكلاء الذكاء الاصطناعي يفسرون اللغة الطبيعية ويتخذون قرارات بشأن الإجراءات. إنهم يطمسون الحد الفاصل بين قصد المستخدم وتنفيذ الجهاز. يمكن التلاعب بهم من خلال اللغة نفسها.”
أقرت OpenClaw أيضاً بأن القوة التي تمارسها المهارات – التي تُستخدم لتوسيع قدرات الوكيل الذكي، مثل التحكم في أجهزة المنزل الذكي إلى إدارة الشؤون المالية – يمكن إساءة استخدامها من قبل جهات خبيثة، والتي يمكنها استغلال وصول الوكيل إلى الأدوات والبيانات لاستخلاص المعلومات الحساسة، أو تنفيذ أوامر غير مصرح بها، أو إرسال رسائل نيابة عن الضحية، أو حتى تنزيل وتشغيل حمولات إضافية دون علمهم أو موافقتهم.
علاوة على ذلك، مع تزايد نشر OpenClaw على نقاط النهاية للموظفين دون موافقة رسمية من تكنولوجيا المعلومات أو الأمن، يمكن للرخص المرتفعة لهذه الوكلاء تمكين الوصول إلى Shell، ونقل البيانات، والاتصال بالشبكة خارج نطاق ضوابط الأمان القياسية، مما يخلق فئة جديدة من مخاطر الذكاء الاصطناعي Shadow للشركات.
قال تومر يحيى، باحث في Astrix Security: “ستظهر OpenClaw وأدوات مثلها في مؤسستك سواء وافقت عليها أم لا. سيقوم الموظفون بتثبيتها لأنها مفيدة حقًا. السؤال الوحيد هو ما إذا كنت ستعرف بذلك.”
-
مشكلة تم إصلاحها كانت موجودة في الإصدارات السابقة يمكن أن تسبب تصنيف حركة البروكسي الخاطئة على أنها محلية، مما يتجاوز المصادقة لبعض الحالات المعرضة للإنترنت.
-
قال موشيه سيمين توف بوستان ونير زادوك من OX Security: “يقوم OpenClaw بتخزين بيانات الاعتماد كنص عادي، ويستخدم أنماط ترميز غير آمنة بما في ذلك الاستدعاء المباشر (eval) مع مدخلات المستخدم، ولا توجد سياسة خصوصية أو مساءلة واضحة.” وأضافوا “طرق إلغاء التثبيت الشائعة تترك بيانات حساسة وراءها – وإلغاء الوصول بالكامل أصعب بكثير مما يدركه معظم المستخدمين.”
-
هجوم يسمى “zero-click” يستغل تكاملات OpenClaw لزرع باب خلفي في نقطة نهاية الضحية للتحكم المستمر عندما تتم معالجة وثيقة تبدو غير ضارة بواسطة الوكيل الذكي، مما يؤدي إلى تنفيذ حمولة حقن أوامر غير مباشر تسمح له بالاستجابة لرسائل من روبوت Telegram يتحكم فيه المهاجم.
-
حقن أوامر غير مباشر مدمج في صفحة ويب، والذي عند تحليله كجزء من أمر غير ضار يطلب من نموذج اللغة الكبير (LLM) تلخيص محتويات الصفحة، يتسبب في قيام OpenClaw بإلحاق مجموعة من التعليمات التي يتحكم فيها المهاجم بملف ~/.openclaw/workspace/HEARTBEAT.md والانتظار بصمت لتلقي المزيد من الأوامر من خادم خارجي.
-
وجدت التحقيقات الأمنية على 3,984 مهارة في سوق ClawHub أن 283 مهارة، حوالي 7.1% من السجل بأكمله، تحتوي على ثغرات أمنية حرجة تكشف عن بيانات اعتماد حساسة كنص عادي عبر نافذة سياق LLM وسجلات الإخراج.
-
كشف تقرير صادر عن Bitdefender أن المهارات الخبيثة غالباً ما يتم نسخها وإعادة نشرها على نطاق واسع باستخدام اختلافات أسماء صغيرة، وأن الحمولات يتم تنظيمها من خلال خدمات مشاركة مثل glot.io ومستودعات GitHub العامة.
-
ثغرة تنفيذ تعليمات برمجية عن بعد بـ “نقرة واحدة” تم إصلاحها سابقاً والتي كانت يمكن أن تسمح للمهاجم بخداع مستخدم لزيارة صفحة ويب خبيثة يمكن أن تتسبب في تسريب رمز مصادقة OpenClaw عبر قناة WebSocket ومن ثم استخدامه لتنفيذ أوامر عشوائية على المضيف.
-
يتم ربط بوابة OpenClaw افتراضياً بـ 0.0.0.0:18789، مما يعرض واجهة برمجة التطبيقات الكاملة لأي واجهة شبكة. وفقاً لبيانات من Censys، هناك أكثر من 30,000 حالة مكشوفة يمكن الوصول إليها عبر الإنترنت اعتباراً من 8 فبراير 2026، على الرغم من أن معظمها يتطلب قيمة رمز مميز للعرض والتفاعل معها.
-
في سيناريو هجوم افتراضي، يمكن استخدام حمولة حقن أوامر مدمجة في رسالة WhatsApp مصاغة خصيصاً لاستخلاص ملفات “.env” و “creds.json”، التي تخزن بيانات الاعتماد ومفاتيح API ورموز الجلسة لمنصات المراسلة المتصلة من حالة OpenClaw مكشوفة.
-
قاعدة بيانات Supabase خاطئة التكوين تنتمي إلى Moltbook تركت مكشوفة في JavaScript من جانب العميل، مما جعل مفاتيح API السرية لكل وكيل مسجل على الموقع متاحة بحرية، وسمح بالوصول الكامل للقراءة والكتابة إلى بيانات المنصة. وفقاً لـ Wiz، شمل الكشف 1.5 مليون رمز مصادقة API، و 35,000 عنوان بريد إلكتروني، ورسائل خاصة بين الوكلاء.
-
تم العثور على جهات فاعلة خبيثة تستغل آليات منصة Moltbook لتوسيع نطاق الوصول وتوجيه وكلاء آخرين نحو خيوط خبيثة تحتوي على حقن أوامر للتلاعب بسلوكهم واستخراج بيانات حساسة أو سرقة العملات المشفرة.
-
“ربما يكون Moltbook قد أنشأ عن غير قصد مختبراً تقوم فيه الوكلاء، الذين يمكن أن يكونوا أهدافاً عالية القيمة، بمعالجة ومشاركة البيانات غير الموثوق بها باستمرار، ولا توجد حواجز حماية في المنصة – كل ذلك عن قصد،” كما ذكرت Zenity Labs.
قال باحثون في HiddenLayer، كونور مكولي وكاسيمير شولز ورايان تريسي وجيسون مارتن: “المشكلة الأولى، وربما الأكثر فظاعة، هي أن OpenClaw يعتمد على نموذج اللغة المُكوّن للعديد من القرارات الحرجة أمنياً.” وأضافوا: “ما لم يمكّن المستخدم بشكل استباقي ميزة العزل (sandboxing) الخاصة بـ OpenClaw المستندة إلى Docker، يظل الوصول الكامل على مستوى النظام هو الافتراضي.”
من بين مشاكل التصميم والهندسة المعمارية الأخرى التي حددتها شركة أمن الذكاء الاصطناعي فشل OpenClaw في تصفية المحتوى غير الموثوق به الذي يحتوي على تسلسلات تحكم، وحواجز حماية غير فعالة ضد حقن الأوامر غير المباشر، وذكريات قابلة للتعديل وأوامر نظام تستمر في جلسات الدردشة المستقبلية، وتخزين كنص عادي لمفاتيح API ورموز الجلسة، وعدم وجود موافقة صريحة من المستخدم قبل تنفيذ استدعاءات الأدوات.
في تقرير نُشر الأسبوع الماضي، جادلت Persmiso Security بأن أمان نظام OpenClaw البيئي أكثر أهمية بكثير من متاجر التطبيقات وأسواق إضافات المتصفح نظراً للوصول الواسع للوكلاء إلى بيانات المستخدم.
وأشار الباحث الأمني إيان أه لـ: “يحصل الوكلاء الذكاء الاصطناعي على بيانات اعتماد لحياتك الرقمية بأكملها.” وأضاف: “وعلى عكس إضافات المتصفح التي تعمل في بيئة معزولة مع مستوى معين من العزل، تعمل هذه الوكلاء بأقصى الصلاحيات التي تمنحها لهم.”
وأضاف: “سوق المهارات يزيد من تفاقم هذا الأمر. عندما تقوم بتثبيت إضافة متصفح خبيثة، فإنك تعرض نظاماً واحداً للخطر. وعندما تقوم بتثبيت مهارة وكيل خبيثة، فإنك تعرض كل نظام يمتلك الوكيل بيانات اعتماد له للخطر المحتمل.”
دفعت القائمة الطويلة للمشاكل الأمنية المرتبطة بـ OpenClaw وزارة الصناعة وتكنولوجيا المعلومات في الصين إلى إصدار تنبيه بشأن الحالات ذات التكوين الخاطئ، حاثه المستخدمين على تنفيذ تدابير الحماية لتأمين أنفسهم ضد الهجمات السيبرانية وخروقات البيانات، حسبما أفادت رويترز.
قال إنسار سيكر، الرئيس التنفيذي للأمن السيبراني في SOCRadar، لـ The Hacker News عبر البريد الإلكتروني: “عندما تنتشر منصات الوكلاء بشكل أسرع من نضوج الممارسات الأمنية، يصبح التكوين الخاطئ هو سطح الهجوم الأساسي.” وأضاف: “الخطر ليس الوكيل نفسه؛ بل هو كشف الأدوات المستقلة عن الشبكات العامة دون وجود هوية قوية، وضوابط الوصول، وحدود التنفيذ.”
وأردف: “ما يلفت الانتباه هنا هو أن الجهة التنظيمية الصينية تشير صراحة إلى مخاطر التكوين بدلاً من حظر التكنولوجيا. وهذا يتماشى مع ما يعرفه المدافعون بالفعل: تضخم إطارات عمل الوكلاء الإنتاجية ونطاق الانفجار على حد سواء. نقطة نهاية مكشوفة واحدة أو مكون إضافي مفرط في الصلاحيات يمكن أن يحول الوكيل الذكي إلى طبقة أتمتة غير مقصودة للمهاجمين.”