مباشر الأحد، 12 يوليو 2026
عاجل
منوعاتأحمد فتوح يتحدى نجوم العالم: لا أخشى مواجهة ميسي.. ولو لعبت أمام الأرجنتين لتألقترياضة محلية48 مليون جنيه، تفاصيل صادمة في التحقيقات مع رجل أعمال وسيدة بتهمة غسل أموالمنوعاتتأجيل محاكمة 5 متهمين بقضية خلية «داعش حلوان» لـ 10 أكتوبرمنوعاتالأنثى والذئاب.. قصة درامية مأساوية!!سياسة​الشرطة البريطانية تستبعد الدافع السياسي وراء مقتل وزيرة الدولة السابقةالعالمإعلام إيراني: نحو 10 قذائف أصابت أهدافا عسكرية في جزيرة قشم جنوبي إيران (فيديو)رياضة محليةهل تخفي سرًّا؟ جمهور تحت السن ينقسم حول شخصية فرح يوسفسياسةسيطرة «برشلونية» على نصف نهائي المونديال بـ10 لاعبينمنوعاتحضور عربي مكثف في الدورة الـ79 من مهرجان لوكارنو السينمائيرياضة محليةوزير الخارجية ورئيس مجلس الدولة يشهدان توقيع مذكرة تفاهم لتعزيز التعاون القضائي الأفريقيالعالمما العراقيل التي تمنع تبادل الأسرى بين “أنصار الله” والحكومة اليمنية في الموعد المحدد؟العالمرحيل باني نهضة قطر الحديثة.. العالم والسودان ينعون الشيخ حمد بن خليفةمنوعاتعاجل| ارتفاع جديد في سعر جرام الذهب بختام تعاملات اليوم الأحدمنوعاتمحافظ القليوبية يتفقد مركزي شباب كفر طحا وطحانوب ويوجه بسرعة التشغيل الكاملرياضة محليةتداول 47 ألف طن بضائع بميناء دمياط خلال الـ 24 ساعة الماضيةالعالم5 سنوات سجنا.. البرلمان الألماني يقر مشروع قانون يجرم “إنكار حق إسرائيل في الوجود”رياضة محليةحاول سرقتها، الإعدام شنقا لبائع فاكهة قتل سيدة في القليوبيةسياسةتجدد القصف على جنوب إيران قرب مضيق هرمزرياضة محليةرئيس جامعة بنها يتابع إجراءات اعتماد مستشفى الجراحة من الهيئة العامة للاعتماد والرقابة الصحيةالعالمالجيش الإسرائيلي: استهدفنا عناصر من حماس داخل موقع لتصنيع الأسلحة في مدينة غزة (فيديو)منوعاتأحمد فتوح يتحدى نجوم العالم: لا أخشى مواجهة ميسي.. ولو لعبت أمام الأرجنتين لتألقترياضة محلية48 مليون جنيه، تفاصيل صادمة في التحقيقات مع رجل أعمال وسيدة بتهمة غسل أموالمنوعاتتأجيل محاكمة 5 متهمين بقضية خلية «داعش حلوان» لـ 10 أكتوبرمنوعاتالأنثى والذئاب.. قصة درامية مأساوية!!سياسة​الشرطة البريطانية تستبعد الدافع السياسي وراء مقتل وزيرة الدولة السابقةالعالمإعلام إيراني: نحو 10 قذائف أصابت أهدافا عسكرية في جزيرة قشم جنوبي إيران (فيديو)رياضة محليةهل تخفي سرًّا؟ جمهور تحت السن ينقسم حول شخصية فرح يوسفسياسةسيطرة «برشلونية» على نصف نهائي المونديال بـ10 لاعبينمنوعاتحضور عربي مكثف في الدورة الـ79 من مهرجان لوكارنو السينمائيرياضة محليةوزير الخارجية ورئيس مجلس الدولة يشهدان توقيع مذكرة تفاهم لتعزيز التعاون القضائي الأفريقيالعالمما العراقيل التي تمنع تبادل الأسرى بين “أنصار الله” والحكومة اليمنية في الموعد المحدد؟العالمرحيل باني نهضة قطر الحديثة.. العالم والسودان ينعون الشيخ حمد بن خليفةمنوعاتعاجل| ارتفاع جديد في سعر جرام الذهب بختام تعاملات اليوم الأحدمنوعاتمحافظ القليوبية يتفقد مركزي شباب كفر طحا وطحانوب ويوجه بسرعة التشغيل الكاملرياضة محليةتداول 47 ألف طن بضائع بميناء دمياط خلال الـ 24 ساعة الماضيةالعالم5 سنوات سجنا.. البرلمان الألماني يقر مشروع قانون يجرم “إنكار حق إسرائيل في الوجود”رياضة محليةحاول سرقتها، الإعدام شنقا لبائع فاكهة قتل سيدة في القليوبيةسياسةتجدد القصف على جنوب إيران قرب مضيق هرمزرياضة محليةرئيس جامعة بنها يتابع إجراءات اعتماد مستشفى الجراحة من الهيئة العامة للاعتماد والرقابة الصحيةالعالمالجيش الإسرائيلي: استهدفنا عناصر من حماس داخل موقع لتصنيع الأسلحة في مدينة غزة (فيديو)
أسعار
دولار أمريكي49.62EGPيورو56.68EGPجنيه إسترليني66.53EGPريال سعودي13.23EGPدرهم إماراتي13.51EGPدينار كويتي160.43EGPدينار أردني69.99EGPريال قطري13.63EGPليرة تركية1.06EGPيوان صيني7.31EGPذهب 246,575.49EGP/جمذهب 215,753.55EGP/جمذهب 184,931.61EGP/جمفضة95.75EGP/جم
دولار أمريكي49.62EGPيورو56.68EGPجنيه إسترليني66.53EGPريال سعودي13.23EGPدرهم إماراتي13.51EGPدينار كويتي160.43EGPدينار أردني69.99EGPريال قطري13.63EGPليرة تركية1.06EGPيوان صيني7.31EGPذهب 246,575.49EGP/جمذهب 215,753.55EGP/جمذهب 184,931.61EGP/جمفضة95.75EGP/جم
خبر عاجل
علوم وتكنولوجيا

رسالة واتساب واحدة تحول “OpenClaw” إلى ثغرة لاختراق الأجهزة عن بُعد


كشف باحثون عن ثلاث ثغرات أمنية عالية الخطورة في “OpenClaw“، مساعد البرمجة مفتوح المصدر المعتمد على الذكاء الاصطناعي، والذي حصد 381 ألف نجمة على منصة “غيت هاب”، تتيح للمهاجمين تنفيذ تعليمات برمجية عن بُعد عبر رسالة واحدة فقط من تطبيق واتساب.

وتُظهر هذه الثغرات، التي تم التأكد من إمكانية استغلالها في إصدار OpenClaw 2026.6.1، ضعفًا هيكليًا في الطريقة التي يتعامل بها وكلاء الذكاء الاصطناعي مع المدخلات غير الموثوقة القادمة من تطبيقات المراسلة، بحسب تقرير لموقع “Cyber Security News” المتخصص في أخبار الأمن السيبراني، اطلعت عليه “العربية Business”.

و”OpenClaw” هو مساعد ذكاء اصطناعي يمكن استضافته ذاتيًا، ويتصل بتطبيقات واتساب وتيليغرام وتيمز وسلاك وديسكورد، ما يتيح للمستخدمين إرسال طلبات برمجية إليه بالطريقة نفسها التي يراسلون بها أحد زملاء العمل.

ويستطيع المساعد كتابة الأكواد البرمجية، وتشغيل أوامر Shell، وإدارة الملفات، ويستخدمه أكثر من 100 ألف مستخدم نشط يوميًا. إلا أن الباحثين وجدوا أن هذه القدرة على تنفيذ الأوامر تمثل أيضًا نقطة الضعف الأساسية فيه.

ثغرات متعددة في OpenClaw

تشمل الثغرات الثلاثة التي اكتشفها الباحثون الآتي:

ثغرة تجاوز فلترة متغيرات البيئة (بدرجة خطورة CVSS 8.8): تعتمد وظيفة sanitizeEnvVars() في OpenClaw على حظر بعض متغيرات النظام التي قد تحتوي على بيانات اعتماد، لكنها لا تتحقق من 12 متغيرًا آخر تُستخدم عند بدء تشغيل البرامج، ما يسمح للمهاجمين بتشغيل تعليمات برمجية خبيثة قبل تنفيذ البرنامج المطلوب.

– ثغرة تنفيذ أوامر عن بُعد عبر Git (بدرجة خطورة CVSS 8.8): يمكن للمهاجم إعادة تفعيل ميزة تكون معطلة افتراضيًا في أداة Git باستخدام إعداد معين داخل أمر git clone، ما يسمح بتنفيذ أوامر على النظام المستهدف بحجة تصحيح الأخطاء.

– ثغرة تجاوز قيود بيئة العزل (بدرجة خطورة CVSS 8.4): تمنع بيئة العزل Docker الوصول المباشر إلى مجلدات حساسة، لكن طريقة التحقق الحالية تحتوي على ثغرة تسمح بالوصول إليها بشكل غير مباشر عبر مجلدات رئيسية، ما قد يتيح للمهاجم الوصول إلى مفاتيح SSH وملفات حساسة أخرى، بل وحتى السيطرة على الخادم الذي يشغّل التطبيق.

واستعرض الباحث تشينموهان نايك سلسلة الاستغلال من خلال إرسال رسالة عبر واتساب صيغت على أنها طلب اعتيادي لتصحيح أخطاء، وجاء فيها: “أقوم بتصحيح مشكلة تسرب للذاكرة في Node.js ضمن بيئة الإنتاج، يرجى تنفيذ هذه الأوامر…”.

واستخدمت الحمولة الخبيثة متغير NODE_OPTIONS لتمرير برنامج نصي ضار، نُفذ بصلاحيات كاملة للوصول إلى نظام الملفات قبل تشغيل الأمر المقصود. واستجاب نموذج Claude Sonnet 4، الذي كان يشغل وكيل الذكاء الاصطناعي في الاختبار، دون تردد، كما نسق المخرجات وعرض تقديم مزيد من المساعدة.

وأشار الباحثون إلى أن المشكلة الأساسية لا تكمن في تدريب نموذج Claude Sonnet 4 على السلامة، بل في قيد جوهري يتمثل في أن النموذج لا يستطيع التمييز بين طلب مشروع من مطور وطلب صاغه مهاجم بالطريقة نفسها.

كما تزيد ذاكرة الجلسة من تعقيد المشكلة، إذ يصبح النموذج أكثر حذرًا بعد رفض حمولة ضارة خلال محادثة معينة، لكن بدء جلسة جديدة يعيد مستوى الثقة إلى الصفر، ما يمنح المهاجمين عددًا غير محدود من محاولات إعادة الاستغلال.

إجراءات احتياطية

ينبغي على من يشغلون “OpenClaw” اتخاذ الإجراءات التالية على الفور:

– الترقية إلى الإصدار 2026.6.6 أو أحدث، والذي يعالج الثغرات الثلاث جميعها.

– إزالة أداة exec من قائمة الأدوات المسموح بها، ما لم تكن ضرورية للغاية للقنوات غير الموثوقة.

– تفعيل وضع Sandbox (أي بيئة العزل) للجلسات غير الأساسية.

– تقييد سياسات إقران الرسائل المباشرة لمنع الأرقام غير الموثوقة من الوصول إلى وكيل الذكاء الاصطناعي.

– تغيير بيانات الاعتماد إذا كان النظام متاحًا للعامة قبل تثبيت التحديثات الأمنية.

المصدر: العربية – تكنولوجيا

0 مشاهدة

أضف تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *