في تطور أمني خطير، أعلنت منصة OpenClaw عن إصلاح ثغرة أمنية عالية الخطورة كانت تتيح للمواقع الإلكترونية الخبيثة الاتصال بوكلاء الذكاء الاصطناعي المحليين والسيطرة الكاملة عليهم. الثغرة التي تحمل الاسم الرمزي “ClawJacked” كشفت عنها شركة الأمن السيبراني Oasis Security، مشيرة إلى أن المشكلة تكمن في النظام الأساسي نفسه وليس في الإضافات أو المكونات الإضافية.
طبيعة الثغرة وآلية عملها
تعتمد الثغرة على سيناريو هجومي محدد يبدأ عندما يقوم مطور بتشغيل OpenClaw على حاسوبه المحمول مع خادم WebSocket المحلي المرتبط بالـ localhost والمحمي بكلمة مرور. يبدأ الهجوم عندما يقع المطور ضحية لهندسة اجتماعية تدفعه لزيارة موقع إلكتروني خاضع لسيطرة المهاجم.
يتابع الهجوم خطواته من خلال برمجية JavaScript خبيثة على صفحة الويب تفتح اتصال WebSocket بالـ localhost عبر منفذ OpenClaw. تقوم هذه البرمجية بعد ذلك بتنفيذ هجوم تخمين لكلمة المرور مستغلة غياب آليات الحد من المعدل، وبمجرد المصادقة بنجاح مع صلاحيات المدير، تقوم البرمجية بتسجيل جهاز موثوق به بشكل خفي يحصل على موافقة تلقائية من البوابة دون أي تدخل من المستخدم.
التداعيات الأمنية الخطيرة
أوضحت Oasis Security أن المتصفحات لا تمنع اتصالات WebSocket عبر المنشأ المختلفة، مما يعني أن أي موقع يزوره المستخدم يمكنه فتح اتصال بالـ localhost بصمت دون أن يلاحظ المستخدم شيئاً. المشكلة تتفاقم لأن البوابة تخفف العديد من الإجراءات الأمنية للاتصالات المحلية، بما في ذلك الموافقة الصامتة على تسجيل الأجهزة الجديدة دون مطالبة المستخدم بالتأكيد.
بمجرد نجاح الهجوم، يحصل المهاجم على سيطرة كاملة على وكيل الذكاء الاصطناعي، مما يمكنه من التفاعل معه وتفريغ بيانات التكوين وتعداد العقد المتصلة وقراءة سجلات التطبيقات. وقد أكدت Bitsight و NeuralTrust أن مثيلات OpenClaw المتصلة بالإنترنت تشكل سطح هجوم متسع، حيث يمكن تحويلها إلى سلاح هجومي عبر حقن التعليمات البرمجية الضارة في المحتوى الذي يعالجه الوكيل.
ثغرات إضافية وسلسلة التصحيحات
لم تكن ثغرة ClawJacked الوحيدة، فقد كشفت Eye Security عن ثغرة تسمح بتسميم السجلات عبر طلبات WebSocket لمثيلات OpenClaw العامة على المنفذ 18789. تمكن هذه الثغرة المهاجمين من كتابة محتوى خبيث في ملفات السجلات التي يقرؤها الوكيل لاستكشاف المشكلات، مما يسمح بحقن تعليمات برمجية غير مباشرة تؤثر على عملية اتخاذ القرار.
استجابت OpenClaw بسرعة بإصدار التحديثات اللازمة، حيث تم إصدار نسخة 2026.2.25 في 26 فبراير 2026 لإصلاح ثغرة ClawJacked، بينما عالج الإصدار 2026.2.13 ثغرة تسميم السجلات في 14 فبراير. كما تم خلال الأسابيع الأخيرة إصدار سلسلة من التحديثات لإصلاح ثغرات متعددة تراوحت بين متوسطة وشديدة الخطورة، شملت تنفيذ الأوامر عن بعد وحقن الأوامر وتزوير الطلبات من جانب الخادم وتجاوز المصادقة.
هجمات سلسلة التوريد والاحتيال عبر المهارات الضارة
كشفت Trend Micro عن استخدام مهارات ضارة تم رفعها إلى ClawHub، السوق المفتوح لتحميل مهارات OpenClaw، كقنوات لتوزيع نسخة جديدة من برنامج Atomic Stealer الخبيث الذي يستهدف أجهزة macOS. تبدأ سلسلة العدوى بمهارة تبدو طبيعية ظاهرياً، لكنها تحتوي على تعليمات برمجية ضارة تقوم بتحميل الحمولة الخبيثة من خوادم خارجية.
وحدد باحثو التهديدات حملة جديدة لنشر البرمجيات الخبيثة يقوم خلالها مهاجم يدعى @liuhui1010 بنشر تعليقات على صفحات المهارات الشرعية تحث المستخدمين على تشغيل أوامر محددة في تطبيق الطرفية، مما يؤدي إلى تنزيل Atomic Stealer من عنوان IP معروف سابقاً بتوزيع البرمجيات الخبيثة.
أجرت شركة Straiker للأمن السيبراني تحليلاً شمل 3505 مهارة على ClawHub، واكتشفت 71 مهارة ضارة على الأقل. بعض هذه المهارات تظاهرت بأنها أدوات شرعية للعملات المشفرة، لكنها احتوت على وظائف خفية لتحويل الأموال إلى محافظ يسيطر عليها المهاجمون. كما تم نسب مهارتين إلى احتيال متعدد الطبقات يستخدم سلسلة هجمات بين الوكلاء.
توصيات أمنية وتحذيرات الخبراء
أصدر فريق Microsoft Defender Security Research تحذيراً شديداً بشأن المخاطر الأمنية المرتبطة ببيئات تشغيل الوكلاء الذاتية مثل OpenClaw. وأكد الفريق أنه نظراً لخصائص هذه الأنظمة، يجب التعامل مع OpenClaw كتنفيذ لتعليمات برمجية غير موثوقة تحمل بيانات اعتماد دائمة، مما يعني أنه ليس من المناسب تشغيلها على محطات العمل الشخصية أو المؤسسية القياسية.
أوصى الخبراء المستخدمين بتطبيق التحديثات الأمنية فوراً، والتدقيق الدوري في الوصول الممنوح لوكلاء الذكاء الاصطناعي، وفرض ضوابط الحوكمة المناسبة للهويات غير البشرية. كما شددوا على ضرورة تدقيق المهارات قبل تثبيتها، وتجنب توفير بيانات الاعتماد والمفاتيح إلا للضرورة القصوى، ومراقبة سلوك المهارات باستمرار.
في حال قررت المؤسسات تقييم OpenClaw، شدد Microsoft على ضرورة نشرها فقط في بيئة معزولة تماماً مثل جهاز افتراضي مخصص أو نظام مادي منفصل، مع استخدام بيانات اعتماد مخصصة غير ممتازة والوصول إلى بيانات غير حساسة فقط، مع مراقبة مستمرة وخطة إعادة بناء كجزء من نموذج التشغيل.
