كشف الارتفاع الكبير في التقارير الأمنية لمشروع OpenClaw، وهو وكيل ذكاء اصطناعي يتم استضافته ذاتيًا، عن وجود فجوة متزايدة بين نظامي تتبع الثغرات الأمنية الرئيسيين: GitHub Security Advisories (GHSAs) و Common Vulnerabilities and Exposures (CVEs). أثارت سرعة نشر OpenClaw للتنبيهات الأمنية تحديًا لتنسيق البيانات العالمي.
خلال ثلاثة أسابيع فقط من إطلاقه، نشر مشروع OpenClaw أكثر من 200 تقرير أمني على GitHub، وهو عدد فاق قدرة عملية تعيين معرفات CVE التقليدية. تظهر صفحة التقارير الأمنية الخاصة بالمشروع حاليًا 255 إفصاحًا، كثير منها يتعلق بمشاكل التحكم في تنفيذ الأوامر، وتفويض الصلاحيات، وفرض قوائم السماح، وحدود الإضافات.
لاحظ محللو Socket.dev أن هذا الكم الهائل من التقارير سلط الضوء مباشرة على مشكلة تجزئة كانت تتطور بصمت في منظومة الإفصاح عن الثغرات، حتى قبل أن يبدأ تطوير البرمجيات مفتوحة المصدر بإنتاج كميات كبيرة من الثغرات بفضل الذكاء الاصطناعي.
تصاعدت الأمور عندما قدمت شركة VulnCheck طلبًا رسميًا في مجموعة عمل مشروع CVE للإشارة (DIBS) إلى 170 تقريرًا أمنيًا من OpenClaw تفتقر إلى معرفات CVE. يشير نظام “DIBS” إلى نية جهة معينة لتقييم ثغرة أمنية وتخصيص معرف CVE لها.
قوبل هذا الطلب بالرفض من قبل MITRE، حيث أوضحت أن “DIBS” مصمم للإشارة إلى ثغرات فردية تلبي معايير محددة، وليس لتصنيف مشروع بأكمله كهدف جماعي. تم إغلاق الطلب في النهاية.
كان OpenClaw معروفًا سابقًا بأسماء مثل Clawdbot و Moltbot، وهو تاريخ تسمية يعقد كيفية فهرستها ثغراته عبر قواعد البيانات المختلفة وأنظمة التقارير. تميل منصات الأتمتة التي تنفذ أوامر نيابة عن المستخدمين عبر خدمات خارجية إلى كشف العديد من الأسطح للهجوم، وعندما يبدأ الباحثون في المراجعة المنهجية لهذه الأدوات، يمكن أن تنمو أعداد الإفصاح عن الثغرات بسرعة.
الفجوة المتزايدة بين GHSA و CVE
توفر تقارير GitHub الأمنية مسارًا أبسط للمطورين. يبلغ الباحث عن مشكلة، وينشرها المطور، ولا يتطلب الأمر تنسيقًا خارجيًا. أما طلب CVE فيتطلب المرور عبر جهة مرخصة، وتنسيق البيانات الوصفية، والانتظار لتخصيص المعرف. لذلك، تلجأ العديد من المشاريع الآن إلى GHSAs فقط وتتجنب طلبات CVE تمامًا.
يؤدي هذا إلى نقطة عمياء حقيقية لفرق الأمان، حيث أن معظم أدوات المؤسسات، بما في ذلك ماسحات الثغرات، وأنظمة إدارة التصحيحات، وأدوات قائمة مكونات البرامج (SBOM)، وأطر الامتثال، مبنية حول معرفات CVE. هذا يعني أن أي ثغرة يتم الإفصاح عنها كـ GHSA فقط قد تظل غير مرئية تمامًا لتلك الأنظمة.
وجدت دراسة أجريت عام 2024 من جامعة كاليفورنيا في إيرفين أن قاعدة بيانات GitHub للتنبيهات الأمنية تحتوي على أكثر من 213 ألف تنبيه غير مراجع، مع مراجعة ما يقل عن ستة شهريًا، وهو معدل يقدر الباحثون أنه سيستغرق 95 عامًا لتنظيفه.
في دراسة أخرى أجريت عام 2026 من جامعة فلوليمينسي الفيدرالية في البرازيل، تم تحليل أكثر من 288 ألف تقرير GHSA، ووجد أن 8% فقط تمت مراجعتها رسميًا من قبل GitHub. التنبيهات غير المراجعة لا تقوم بتشغيل تنبيهات Dependabot، مما يعني أن المشاريع التابعة قد لا تعرف أبدًا أنها تعتمد على حزم بها ثغرات.
قام مهندس الأمن جيري غامبلين من RogoLabs ببناء متتبع مخصص يقارن بين تقارير OpenClaw في قاعدة بيانات GitHub للتنبيهات و مستودع cvelistV5 الخاص بمشروع CVE. يتم تحديث هذا المتتبع كل ساعة ويتضمن بيانات الإصدارات الثابتة لمنع الارتباك حول القضايا التي لا تزال غير مصححة.
أشار جوش بريسرز، نائب رئيس الأمن في Anchore، إلى أن العديد من المؤسسات لا تزال تتجاهل الثغرات التي لا تحمل معرف CVE، مما يجعل هذه الفجوة تشكل خطرًا تشغيليًا.
يجب على فرق الأمن التي تعتمد على منصات الذكاء الاصطناعي والأتمتة أن تقوم بمقارنة قواعد بيانات GHSA و CVE عند مراجعة مدى تعرضها للمخاطر. الاعتماد على مصدر تتبع واحد فقط قد يؤدي إلى ترك ثغرات معروفة دون اكتشاف تمامًا عبر البيئات المنتشرة، مع زيادة تدفق تقارير الثغرات الناتجة عن التطوير المدعوم بالذكاء الاصطناعي.