رسالة واتساب واحدة تحول “OpenClaw” إلى ثغرة لاختراق الأجهزة عن بُعد

كشف باحثون عن ثلاث ثغرات أمنية عالية الخطورة في “OpenClaw“، مساعد البرمجة مفتوح المصدر المعتمد على الذكاء الاصطناعي، والذي حصد 381 ألف نجمة على منصة “غيت هاب”، تتيح للمهاجمين تنفيذ تعليمات برمجية عن بُعد عبر رسالة واحدة فقط من تطبيق واتساب.
وتُظهر هذه الثغرات، التي تم التأكد من إمكانية استغلالها في إصدار OpenClaw 2026.6.1، ضعفًا هيكليًا في الطريقة التي يتعامل بها وكلاء الذكاء الاصطناعي مع المدخلات غير الموثوقة القادمة من تطبيقات المراسلة، بحسب تقرير لموقع “Cyber Security News” المتخصص في أخبار الأمن السيبراني، اطلعت عليه “العربية Business”.
و”OpenClaw” هو مساعد ذكاء اصطناعي يمكن استضافته ذاتيًا، ويتصل بتطبيقات واتساب وتيليغرام وتيمز وسلاك وديسكورد، ما يتيح للمستخدمين إرسال طلبات برمجية إليه بالطريقة نفسها التي يراسلون بها أحد زملاء العمل.
ويستطيع المساعد كتابة الأكواد البرمجية، وتشغيل أوامر Shell، وإدارة الملفات، ويستخدمه أكثر من 100 ألف مستخدم نشط يوميًا. إلا أن الباحثين وجدوا أن هذه القدرة على تنفيذ الأوامر تمثل أيضًا نقطة الضعف الأساسية فيه.
ثغرات متعددة في OpenClaw
تشمل الثغرات الثلاثة التي اكتشفها الباحثون الآتي:
– ثغرة تجاوز فلترة متغيرات البيئة (بدرجة خطورة CVSS 8.8): تعتمد وظيفة sanitizeEnvVars() في OpenClaw على حظر بعض متغيرات النظام التي قد تحتوي على بيانات اعتماد، لكنها لا تتحقق من 12 متغيرًا آخر تُستخدم عند بدء تشغيل البرامج، ما يسمح للمهاجمين بتشغيل تعليمات برمجية خبيثة قبل تنفيذ البرنامج المطلوب.
– ثغرة تنفيذ أوامر عن بُعد عبر Git (بدرجة خطورة CVSS 8.8): يمكن للمهاجم إعادة تفعيل ميزة تكون معطلة افتراضيًا في أداة Git باستخدام إعداد معين داخل أمر git clone، ما يسمح بتنفيذ أوامر على النظام المستهدف بحجة تصحيح الأخطاء.
– ثغرة تجاوز قيود بيئة العزل (بدرجة خطورة CVSS 8.4): تمنع بيئة العزل Docker الوصول المباشر إلى مجلدات حساسة، لكن طريقة التحقق الحالية تحتوي على ثغرة تسمح بالوصول إليها بشكل غير مباشر عبر مجلدات رئيسية، ما قد يتيح للمهاجم الوصول إلى مفاتيح SSH وملفات حساسة أخرى، بل وحتى السيطرة على الخادم الذي يشغّل التطبيق.
واستعرض الباحث تشينموهان نايك سلسلة الاستغلال من خلال إرسال رسالة عبر واتساب صيغت على أنها طلب اعتيادي لتصحيح أخطاء، وجاء فيها: “أقوم بتصحيح مشكلة تسرب للذاكرة في Node.js ضمن بيئة الإنتاج، يرجى تنفيذ هذه الأوامر…”.
واستخدمت الحمولة الخبيثة متغير NODE_OPTIONS لتمرير برنامج نصي ضار، نُفذ بصلاحيات كاملة للوصول إلى نظام الملفات قبل تشغيل الأمر المقصود. واستجاب نموذج Claude Sonnet 4، الذي كان يشغل وكيل الذكاء الاصطناعي في الاختبار، دون تردد، كما نسق المخرجات وعرض تقديم مزيد من المساعدة.
وأشار الباحثون إلى أن المشكلة الأساسية لا تكمن في تدريب نموذج Claude Sonnet 4 على السلامة، بل في قيد جوهري يتمثل في أن النموذج لا يستطيع التمييز بين طلب مشروع من مطور وطلب صاغه مهاجم بالطريقة نفسها.
كما تزيد ذاكرة الجلسة من تعقيد المشكلة، إذ يصبح النموذج أكثر حذرًا بعد رفض حمولة ضارة خلال محادثة معينة، لكن بدء جلسة جديدة يعيد مستوى الثقة إلى الصفر، ما يمنح المهاجمين عددًا غير محدود من محاولات إعادة الاستغلال.
إجراءات احتياطية
ينبغي على من يشغلون “OpenClaw” اتخاذ الإجراءات التالية على الفور:
– الترقية إلى الإصدار 2026.6.6 أو أحدث، والذي يعالج الثغرات الثلاث جميعها.
– إزالة أداة exec من قائمة الأدوات المسموح بها، ما لم تكن ضرورية للغاية للقنوات غير الموثوقة.
– تفعيل وضع Sandbox (أي بيئة العزل) للجلسات غير الأساسية.
– تقييد سياسات إقران الرسائل المباشرة لمنع الأرقام غير الموثوقة من الوصول إلى وكيل الذكاء الاصطناعي.
– تغيير بيانات الاعتماد إذا كان النظام متاحًا للعامة قبل تثبيت التحديثات الأمنية.
المصدر: العربية – تكنولوجيا