أظهرت أبحاث حديثة من فريق Imperva أن وكيل الذكاء الاصطناعي OpenClaw يمكن خداعه عبر إدخال تعليمات خفية داخل جهات الاتصال أو بطاقات vCard أو حتى علامات المواقع. المشكلة تكمن في طريقة تمرير البيانات إلى النموذج، حيث يتم تسطيح الكائنات النصية داخل الـ prompt دون تمييزها كمحتوى غير موثوق. هذا يسمح للمهاجم بإخفاء أوامر داخل اسم جهة الاتصال أو حقل الاسم الكامل في vCard، بحيث لا يلاحظها المستخدم على الشاشة. في الاختبارات، تمكن الباحثون من جعل الوكيل ينفذ سكربت خبيث تم تحميله من خادم خارجي. وقد أصدرت OpenClaw تحديثاً في الإصدار 2026.4.23 لنقل هذه الحقول إلى قناة بيانات غير موثوقة منفصلة، مما يقلل من خطر الاستغلال.
هجمات التصيّد عبر البريد الإلكتروني
من جانب آخر، أظهر فريق Varonis Threat Labs أن الهجمات الاجتماعية يمكن أن تكون أكثر فاعلية ضد OpenClaw. الفريق أنشأ وكيلاً تجريبياً باسم Pinchy وربطه بصندوق بريد Gmail مليء ببيانات تجارية اصطناعية. في محاكاة أولى، تلقى الوكيل رسالة تبدو من قائد فريق يطلب صلاحيات أثناء حادث إنتاج وهمي، فقام الوكيل بإرسال مفاتيح وصول AWS وقواعد بيانات مزيفة. في محاكاة ثانية، طلبت رسالة روتينية تصدير العملاء الأسبوعي، فقام الوكيل بإرسال بيانات 247 عميل بشكل كامل. رغم وجود قواعد للتحقق من المرسلين، إلا أن عامل الاستعجال أو الروتين تغلب على هذه الضوابط. في المقابل، أظهر الوكيل قدرة أفضل في مواجهة صفحات تصيّد تقنية مثل صفحات تسجيل الدخول المزيفة أو شاشات موافقة OAuth الخبيثة، حيث تمكن من رفض منح الصلاحيات بعد فحص الروابط.
الثغرة المشتركة وراء الهجمات
يرى الباحثون أن نقطة الضعف الأساسية تكمن في ما يسمى بـ “الثلاثية القاتلة”: قدرة الوكيل على قراءة بيانات خاصة، استقبال محتوى غير موثوق، وإرسال بيانات للخارج. هذه الخصائص تجعل أي إدخال خبيث أو رسالة مقنعة قادراً على تجاوز الحدود الأمنية. تحليل إضافي من مجتمع InfoSec كشف عن خمس ثغرات أخرى في امتدادات قنوات مثل Slack وDiscord وTeams، حيث كان النظام يعتمد على أسماء العرض القابلة للتغيير بدلاً من معرفات ثابتة، مما سمح للمهاجمين بانتحال هوية مستخدمين موثوقين. جميع هذه الثغرات تم ترقيعها لاحقاً.
توصيات أمنية ومعايير الحماية
ينصح الخبراء بتحديث OpenClaw إلى الإصدار 2026.4.23 أو أحدث، لكنهم يؤكدون أن المشكلة أعمق من مجرد تصحيح برمجي. فريق Varonis يقترح أربع ضوابط أساسية:
- اعتبار ملف التعليمات سياسة إلزامية مُدارة بالإصدارات وليس مجرد اقتراح.
- فرض بوابة على البريد الصادر بحيث لا يتم إرسال رسائل لأول مرة إلى عناوين غير مألوفة دون موافقة.
- ربط صلاحيات الموصلات بمستوى الثقة في المصدر الذي أطلق المهمة، بحيث لا يتمكن صندوق بريد يتعامل مع رسائل خارجية من الوصول إلى كامل قاعدة بيانات العملاء.
- تأجيل أخطر الإجراءات مثل إرسال بيانات اعتماد أو تحويل أموال إلى تدخل بشري مباشر.
السلطة الهولندية لحماية البيانات Autoriteit Persoonsgegevens اتخذت موقفاً صارماً، إذ نصحت المؤسسات بعدم تشغيل OpenClaw على أنظمة تحتوي بيانات حساسة، محذرة من مخاطر تسرب البيانات أو الاستيلاء على الحسابات. هذه التوصيات تعكس إدراكاً متزايداً بأن وكلاء الذكاء الاصطناعي، رغم فائدتهم، يظلون عرضة للاستغلال بسبب طبيعتهم القائمة على الثقة في المدخلات والرغبة في المساعدة.
