مباشر الأحد، 12 يوليو 2026
عاجل
رياضة محليةالتعليم: نظام “هوم سكولينج” مخالف للقانون ولم يصدر أي ترخيص للعمل بهرياضة محليةوزير العدل يزور “قضايا الدولة” لتهنئة المستشار عبد الناصر أبو العزم بتوليه رئاسة الهيئةمنوعاتمحافظ بورسعيد يتابع أعمال تطوير ورفع كفاءة عدد من الشوارع والمناطق بحي الزهوررياضة محليةالزمالك: عرض جديد لمعسكر الكرة، وتركيا تدخل المنافسة واستاد الدفاع الجوي يقتربرياضة محليةوزيرة الإسكان تعلن وضع الجهد على محطة محولات كهرباء التوسعات الشرقية بمدينة 6 أكتوبراقتصادارتفاع مؤشر بورصة عمان وقيمة التداولات تتجاوز 8.1 مليون دينارالعالممنتخب فرنسا يتعرض لضربة موجعة قبل مواجهة إسبانياسياسةمصادر: الاتحاد يسعى لضم علي البليهي من الهلالمنوعاتبعائد تراكمي 66.56%.. تفاصيل شهادات الادخار في بنك مصر والبنك الأهليرياضة محليةغلق مزلقان “الشاملة” 3 أسابيع وتحويل الحركة إلى الزهور ومزلقان الشلال ببني سويفرياضة محليةخبير: اعتداءات المستوطنين بالضفة الغربية تكشف مخططًا لدفع الفلسطينيين إلى الرحيلمنوعاتهيئة العمل الفلسطيني: تقنين دخول المساعدات إلى قطاع غزة يعكس استمرار التعنت الإسرائيليرياضة محليةكل ربع ساعة يفتشوني هل الإجراء ده قانوني؟.. طالب ثانوية عامة بقنا يشتكي من مراقبي الامتحانات (فيديو)رياضة محليةوزير العدل يهنئ رئيس محكمة النقض بتوليه رئاسة” القضاء الأعلى ” ويبحثان تطوير منظومة العدالةمنوعاتتأجيل إعادة محاكمة 8 متهمين بقضية فض رابعة لجلسة 15 سبتمبرسياسةرغم إعلان طهران إغلاقه.. ترامب: مضيق هرمز مفتوح أمام الملاحة التجاريةرياضة محليةآخرها بيج رامي، التنكر وتبدل الهويات قاسم مشترك في أفلام رامز جلالمنوعاتشديد الحرارة رطب.. «الأرصاد» تحذر من حالة الطقس غدًا الاثنين 13 يوليو 2026رياضة محليةتعاون بين وزارة العمل وطائفة البهرة لتسريع مشروعات ترميم المساجد الأثريةاقتصادرئيس الوزراء يتابع استعدادات المرحلة الثانية من المبادرة الرئاسية “حياة كريمة”رياضة محليةالتعليم: نظام “هوم سكولينج” مخالف للقانون ولم يصدر أي ترخيص للعمل بهرياضة محليةوزير العدل يزور “قضايا الدولة” لتهنئة المستشار عبد الناصر أبو العزم بتوليه رئاسة الهيئةمنوعاتمحافظ بورسعيد يتابع أعمال تطوير ورفع كفاءة عدد من الشوارع والمناطق بحي الزهوررياضة محليةالزمالك: عرض جديد لمعسكر الكرة، وتركيا تدخل المنافسة واستاد الدفاع الجوي يقتربرياضة محليةوزيرة الإسكان تعلن وضع الجهد على محطة محولات كهرباء التوسعات الشرقية بمدينة 6 أكتوبراقتصادارتفاع مؤشر بورصة عمان وقيمة التداولات تتجاوز 8.1 مليون دينارالعالممنتخب فرنسا يتعرض لضربة موجعة قبل مواجهة إسبانياسياسةمصادر: الاتحاد يسعى لضم علي البليهي من الهلالمنوعاتبعائد تراكمي 66.56%.. تفاصيل شهادات الادخار في بنك مصر والبنك الأهليرياضة محليةغلق مزلقان “الشاملة” 3 أسابيع وتحويل الحركة إلى الزهور ومزلقان الشلال ببني سويفرياضة محليةخبير: اعتداءات المستوطنين بالضفة الغربية تكشف مخططًا لدفع الفلسطينيين إلى الرحيلمنوعاتهيئة العمل الفلسطيني: تقنين دخول المساعدات إلى قطاع غزة يعكس استمرار التعنت الإسرائيليرياضة محليةكل ربع ساعة يفتشوني هل الإجراء ده قانوني؟.. طالب ثانوية عامة بقنا يشتكي من مراقبي الامتحانات (فيديو)رياضة محليةوزير العدل يهنئ رئيس محكمة النقض بتوليه رئاسة” القضاء الأعلى ” ويبحثان تطوير منظومة العدالةمنوعاتتأجيل إعادة محاكمة 8 متهمين بقضية فض رابعة لجلسة 15 سبتمبرسياسةرغم إعلان طهران إغلاقه.. ترامب: مضيق هرمز مفتوح أمام الملاحة التجاريةرياضة محليةآخرها بيج رامي، التنكر وتبدل الهويات قاسم مشترك في أفلام رامز جلالمنوعاتشديد الحرارة رطب.. «الأرصاد» تحذر من حالة الطقس غدًا الاثنين 13 يوليو 2026رياضة محليةتعاون بين وزارة العمل وطائفة البهرة لتسريع مشروعات ترميم المساجد الأثريةاقتصادرئيس الوزراء يتابع استعدادات المرحلة الثانية من المبادرة الرئاسية “حياة كريمة”
أسعار
دولار أمريكي49.62EGPيورو56.68EGPجنيه إسترليني66.53EGPريال سعودي13.23EGPدرهم إماراتي13.51EGPدينار كويتي160.43EGPدينار أردني69.99EGPريال قطري13.63EGPليرة تركية1.06EGPيوان صيني7.31EGPذهب 246,575.49EGP/جمذهب 215,753.55EGP/جمذهب 184,931.61EGP/جمفضة95.75EGP/جم
دولار أمريكي49.62EGPيورو56.68EGPجنيه إسترليني66.53EGPريال سعودي13.23EGPدرهم إماراتي13.51EGPدينار كويتي160.43EGPدينار أردني69.99EGPريال قطري13.63EGPليرة تركية1.06EGPيوان صيني7.31EGPذهب 246,575.49EGP/جمذهب 215,753.55EGP/جمذهب 184,931.61EGP/جمفضة95.75EGP/جم
خبر عاجل
علوم وتكنولوجيا

رسالة واتساب واحدة تحول “OpenClaw” إلى ثغرة لاختراق الأجهزة عن بُعد


كشف باحثون عن ثلاث ثغرات أمنية عالية الخطورة في “OpenClaw“، مساعد البرمجة مفتوح المصدر المعتمد على الذكاء الاصطناعي، والذي حصد 381 ألف نجمة على منصة “غيت هاب”، تتيح للمهاجمين تنفيذ تعليمات برمجية عن بُعد عبر رسالة واحدة فقط من تطبيق واتساب.

وتُظهر هذه الثغرات، التي تم التأكد من إمكانية استغلالها في إصدار OpenClaw 2026.6.1، ضعفًا هيكليًا في الطريقة التي يتعامل بها وكلاء الذكاء الاصطناعي مع المدخلات غير الموثوقة القادمة من تطبيقات المراسلة، بحسب تقرير لموقع “Cyber Security News” المتخصص في أخبار الأمن السيبراني، اطلعت عليه “العربية Business”.

و”OpenClaw” هو مساعد ذكاء اصطناعي يمكن استضافته ذاتيًا، ويتصل بتطبيقات واتساب وتيليغرام وتيمز وسلاك وديسكورد، ما يتيح للمستخدمين إرسال طلبات برمجية إليه بالطريقة نفسها التي يراسلون بها أحد زملاء العمل.

ويستطيع المساعد كتابة الأكواد البرمجية، وتشغيل أوامر Shell، وإدارة الملفات، ويستخدمه أكثر من 100 ألف مستخدم نشط يوميًا. إلا أن الباحثين وجدوا أن هذه القدرة على تنفيذ الأوامر تمثل أيضًا نقطة الضعف الأساسية فيه.

ثغرات متعددة في OpenClaw

تشمل الثغرات الثلاثة التي اكتشفها الباحثون الآتي:

ثغرة تجاوز فلترة متغيرات البيئة (بدرجة خطورة CVSS 8.8): تعتمد وظيفة sanitizeEnvVars() في OpenClaw على حظر بعض متغيرات النظام التي قد تحتوي على بيانات اعتماد، لكنها لا تتحقق من 12 متغيرًا آخر تُستخدم عند بدء تشغيل البرامج، ما يسمح للمهاجمين بتشغيل تعليمات برمجية خبيثة قبل تنفيذ البرنامج المطلوب.

– ثغرة تنفيذ أوامر عن بُعد عبر Git (بدرجة خطورة CVSS 8.8): يمكن للمهاجم إعادة تفعيل ميزة تكون معطلة افتراضيًا في أداة Git باستخدام إعداد معين داخل أمر git clone، ما يسمح بتنفيذ أوامر على النظام المستهدف بحجة تصحيح الأخطاء.

– ثغرة تجاوز قيود بيئة العزل (بدرجة خطورة CVSS 8.4): تمنع بيئة العزل Docker الوصول المباشر إلى مجلدات حساسة، لكن طريقة التحقق الحالية تحتوي على ثغرة تسمح بالوصول إليها بشكل غير مباشر عبر مجلدات رئيسية، ما قد يتيح للمهاجم الوصول إلى مفاتيح SSH وملفات حساسة أخرى، بل وحتى السيطرة على الخادم الذي يشغّل التطبيق.

واستعرض الباحث تشينموهان نايك سلسلة الاستغلال من خلال إرسال رسالة عبر واتساب صيغت على أنها طلب اعتيادي لتصحيح أخطاء، وجاء فيها: “أقوم بتصحيح مشكلة تسرب للذاكرة في Node.js ضمن بيئة الإنتاج، يرجى تنفيذ هذه الأوامر…”.

واستخدمت الحمولة الخبيثة متغير NODE_OPTIONS لتمرير برنامج نصي ضار، نُفذ بصلاحيات كاملة للوصول إلى نظام الملفات قبل تشغيل الأمر المقصود. واستجاب نموذج Claude Sonnet 4، الذي كان يشغل وكيل الذكاء الاصطناعي في الاختبار، دون تردد، كما نسق المخرجات وعرض تقديم مزيد من المساعدة.

وأشار الباحثون إلى أن المشكلة الأساسية لا تكمن في تدريب نموذج Claude Sonnet 4 على السلامة، بل في قيد جوهري يتمثل في أن النموذج لا يستطيع التمييز بين طلب مشروع من مطور وطلب صاغه مهاجم بالطريقة نفسها.

كما تزيد ذاكرة الجلسة من تعقيد المشكلة، إذ يصبح النموذج أكثر حذرًا بعد رفض حمولة ضارة خلال محادثة معينة، لكن بدء جلسة جديدة يعيد مستوى الثقة إلى الصفر، ما يمنح المهاجمين عددًا غير محدود من محاولات إعادة الاستغلال.

إجراءات احتياطية

ينبغي على من يشغلون “OpenClaw” اتخاذ الإجراءات التالية على الفور:

– الترقية إلى الإصدار 2026.6.6 أو أحدث، والذي يعالج الثغرات الثلاث جميعها.

– إزالة أداة exec من قائمة الأدوات المسموح بها، ما لم تكن ضرورية للغاية للقنوات غير الموثوقة.

– تفعيل وضع Sandbox (أي بيئة العزل) للجلسات غير الأساسية.

– تقييد سياسات إقران الرسائل المباشرة لمنع الأرقام غير الموثوقة من الوصول إلى وكيل الذكاء الاصطناعي.

– تغيير بيانات الاعتماد إذا كان النظام متاحًا للعامة قبل تثبيت التحديثات الأمنية.

المصدر: العربية – تكنولوجيا

0 مشاهدة

أضف تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *