Live Sunday, 12 July 2026
BREAKING
Egyptian FM holds calls with Iranian counterpart , U.S. Envoy on regional developmentsZverev into French Open last-fourIsraeli fire kills four people in Gaza, medics sayAncelotti eases Neymar W. Cup fearsArab, Islamic states condemn Israeli actions at Al-AqsaSyria Hopes for Terrorism Delisting to Spur Economic RecoveryBenfica linked with Fulham’s SilvaVan der Breggen takes Giro leadKremlin: Saudi Arabia Named Guest of Honor at St. Petersburg Economic Forumرياضة محلية‘Really cool to share this journey with her’: Michelle Wie West playing for her family at U.S. Women’s OpenArchaeological Replicas Showcase Saudi Arabia’s Rich History at Kuala Lumpur Int’l Book FairRenewable Energy Helps Red Sea Global Avoid 118,000 Tons of Carbon EmissionsLetter: Carol Rumens obituaryEngland v India: third and deciding women’s T20 cricket international – liveHealthVolunteers serve comfort food in a worrying Ebola outbreak – Sault Michigan NewsEconomyTrump signs AI executive order asking companies to give government early access to modelsVarietySouth West Water fined nearly £2million after supplying homes with parasite-ridden water that left four people in hospital – and telling people it was safe to drinkScience & TechYour car is following you – how to reclaim your data privacy on the open roadWorldHigh school valedictorian yanked from stage after hijacking speech to rant against Israel and ICESaudi FM Receives Written Message from Russian CounterpartEgyptian FM holds calls with Iranian counterpart , U.S. Envoy on regional developmentsZverev into French Open last-fourIsraeli fire kills four people in Gaza, medics sayAncelotti eases Neymar W. Cup fearsArab, Islamic states condemn Israeli actions at Al-AqsaSyria Hopes for Terrorism Delisting to Spur Economic RecoveryBenfica linked with Fulham’s SilvaVan der Breggen takes Giro leadKremlin: Saudi Arabia Named Guest of Honor at St. Petersburg Economic Forumرياضة محلية‘Really cool to share this journey with her’: Michelle Wie West playing for her family at U.S. Women’s OpenArchaeological Replicas Showcase Saudi Arabia’s Rich History at Kuala Lumpur Int’l Book FairRenewable Energy Helps Red Sea Global Avoid 118,000 Tons of Carbon EmissionsLetter: Carol Rumens obituaryEngland v India: third and deciding women’s T20 cricket international – liveHealthVolunteers serve comfort food in a worrying Ebola outbreak – Sault Michigan NewsEconomyTrump signs AI executive order asking companies to give government early access to modelsVarietySouth West Water fined nearly £2million after supplying homes with parasite-ridden water that left four people in hospital – and telling people it was safe to drinkScience & TechYour car is following you – how to reclaim your data privacy on the open roadWorldHigh school valedictorian yanked from stage after hijacking speech to rant against Israel and ICESaudi FM Receives Written Message from Russian Counterpart
Prices
US dollar49.62EGPEuro56.68EGPBritish pound66.53EGPSaudi riyal13.23EGPUAE dirham13.51EGPKuwaiti dinar160.43EGPJordanian dinar69.99EGPQatari riyal13.63EGPTurkish lira1.06EGPChinese yuan7.31EGPGold 246,575.49EGP/gGold 215,753.55EGP/gGold 184,931.61EGP/gSilver95.75EGP/g
US dollar49.62EGPEuro56.68EGPBritish pound66.53EGPSaudi riyal13.23EGPUAE dirham13.51EGPKuwaiti dinar160.43EGPJordanian dinar69.99EGPQatari riyal13.63EGPTurkish lira1.06EGPChinese yuan7.31EGPGold 246,575.49EGP/gGold 215,753.55EGP/gGold 184,931.61EGP/gSilver95.75EGP/g
NEWS BREAKING
Science & Tech

رسالة واتساب واحدة تحول “OpenClaw” إلى ثغرة لاختراق الأجهزة عن بُعد


كشف باحثون عن ثلاث ثغرات أمنية عالية الخطورة في “OpenClaw“، مساعد البرمجة مفتوح المصدر المعتمد على الذكاء الاصطناعي، والذي حصد 381 ألف نجمة على منصة “غيت هاب”، تتيح للمهاجمين تنفيذ تعليمات برمجية عن بُعد عبر رسالة واحدة فقط من تطبيق واتساب.

وتُظهر هذه الثغرات، التي تم التأكد من إمكانية استغلالها في إصدار OpenClaw 2026.6.1، ضعفًا هيكليًا في الطريقة التي يتعامل بها وكلاء الذكاء الاصطناعي مع المدخلات غير الموثوقة القادمة من تطبيقات المراسلة، بحسب تقرير لموقع “Cyber Security News” المتخصص في أخبار الأمن السيبراني، اطلعت عليه “العربية Business”.

و”OpenClaw” هو مساعد ذكاء اصطناعي يمكن استضافته ذاتيًا، ويتصل بتطبيقات واتساب وتيليغرام وتيمز وسلاك وديسكورد، ما يتيح للمستخدمين إرسال طلبات برمجية إليه بالطريقة نفسها التي يراسلون بها أحد زملاء العمل.

ويستطيع المساعد كتابة الأكواد البرمجية، وتشغيل أوامر Shell، وإدارة الملفات، ويستخدمه أكثر من 100 ألف مستخدم نشط يوميًا. إلا أن الباحثين وجدوا أن هذه القدرة على تنفيذ الأوامر تمثل أيضًا نقطة الضعف الأساسية فيه.

ثغرات متعددة في OpenClaw

تشمل الثغرات الثلاثة التي اكتشفها الباحثون الآتي:

ثغرة تجاوز فلترة متغيرات البيئة (بدرجة خطورة CVSS 8.8): تعتمد وظيفة sanitizeEnvVars() في OpenClaw على حظر بعض متغيرات النظام التي قد تحتوي على بيانات اعتماد، لكنها لا تتحقق من 12 متغيرًا آخر تُستخدم عند بدء تشغيل البرامج، ما يسمح للمهاجمين بتشغيل تعليمات برمجية خبيثة قبل تنفيذ البرنامج المطلوب.

– ثغرة تنفيذ أوامر عن بُعد عبر Git (بدرجة خطورة CVSS 8.8): يمكن للمهاجم إعادة تفعيل ميزة تكون معطلة افتراضيًا في أداة Git باستخدام إعداد معين داخل أمر git clone، ما يسمح بتنفيذ أوامر على النظام المستهدف بحجة تصحيح الأخطاء.

– ثغرة تجاوز قيود بيئة العزل (بدرجة خطورة CVSS 8.4): تمنع بيئة العزل Docker الوصول المباشر إلى مجلدات حساسة، لكن طريقة التحقق الحالية تحتوي على ثغرة تسمح بالوصول إليها بشكل غير مباشر عبر مجلدات رئيسية، ما قد يتيح للمهاجم الوصول إلى مفاتيح SSH وملفات حساسة أخرى، بل وحتى السيطرة على الخادم الذي يشغّل التطبيق.

واستعرض الباحث تشينموهان نايك سلسلة الاستغلال من خلال إرسال رسالة عبر واتساب صيغت على أنها طلب اعتيادي لتصحيح أخطاء، وجاء فيها: “أقوم بتصحيح مشكلة تسرب للذاكرة في Node.js ضمن بيئة الإنتاج، يرجى تنفيذ هذه الأوامر…”.

واستخدمت الحمولة الخبيثة متغير NODE_OPTIONS لتمرير برنامج نصي ضار، نُفذ بصلاحيات كاملة للوصول إلى نظام الملفات قبل تشغيل الأمر المقصود. واستجاب نموذج Claude Sonnet 4، الذي كان يشغل وكيل الذكاء الاصطناعي في الاختبار، دون تردد، كما نسق المخرجات وعرض تقديم مزيد من المساعدة.

وأشار الباحثون إلى أن المشكلة الأساسية لا تكمن في تدريب نموذج Claude Sonnet 4 على السلامة، بل في قيد جوهري يتمثل في أن النموذج لا يستطيع التمييز بين طلب مشروع من مطور وطلب صاغه مهاجم بالطريقة نفسها.

كما تزيد ذاكرة الجلسة من تعقيد المشكلة، إذ يصبح النموذج أكثر حذرًا بعد رفض حمولة ضارة خلال محادثة معينة، لكن بدء جلسة جديدة يعيد مستوى الثقة إلى الصفر، ما يمنح المهاجمين عددًا غير محدود من محاولات إعادة الاستغلال.

إجراءات احتياطية

ينبغي على من يشغلون “OpenClaw” اتخاذ الإجراءات التالية على الفور:

– الترقية إلى الإصدار 2026.6.6 أو أحدث، والذي يعالج الثغرات الثلاث جميعها.

– إزالة أداة exec من قائمة الأدوات المسموح بها، ما لم تكن ضرورية للغاية للقنوات غير الموثوقة.

– تفعيل وضع Sandbox (أي بيئة العزل) للجلسات غير الأساسية.

– تقييد سياسات إقران الرسائل المباشرة لمنع الأرقام غير الموثوقة من الوصول إلى وكيل الذكاء الاصطناعي.

– تغيير بيانات الاعتماد إذا كان النظام متاحًا للعامة قبل تثبيت التحديثات الأمنية.

المصدر: العربية – تكنولوجيا

0 Views

أضف تعليقاً

Your email address will not be published. Required fields are marked *