مباشر الأحد، 12 يوليو 2026
عاجل
رياضة محليةلمناقشة الخطة السنوية للعمل، اللجنة العليا للمصالحات بالأزهر الشريف تعقد اجتماعها الدوريرياضة محليةالأهالي يؤجرون أولادهم باليوم!، كيف يدير 6 مسجلين خطر «بورصة التسول» في إشارات المرور بالجيزة؟رياضة محليةأمن القاهرة ينقذ شخصين بعد احتجازهما داخل مصعد بالتجمع الخامس (صور)رياضة محليةهتاف استفزازي لـ لاعبي الأرجنتين قبل مواجهة إنجلترارياضة محليةتستخدم في غش البن، ضبط 2 طن نوى بلح وبسلة داخل محمصة بالفيومالعالمعمدة موسكو: الدفاع الجوي دمر حوالي 300 مسيرة أوكرانية كانت متجهة نحو العاصمة خلال 24 ساعةصحةطبيبة أطفال تقدّم نصائح “غير تقليدية” للعائلات الجديدة.. ماذا قالت؟العالمترحيب أممي واقليمي بعقد الجلسة الافتتاحية لمجلس الشعب الجديد في سوريارياضة محليةتعليم أسيوط: فوز طالبات مدرسة الخياط الثانوية بالمركز الرابع على مستوى الجمهورية في مسابقة التقرير الصحفيمنوعاتكم سجل سعر الدولار الآن؟.. آخر تحديث للعملة الأمريكية أمام الجنيهمنوعاتضبط 2600 لتر ألبان فاسدة قبل بيعها بالأسواق في بني سويفسياسةتوترات أمنية في الزاوية الليبية بعد مقتل 4 أشخاصمنوعاتكشف ملابسات تضرر شخص من قيام مروجي مخدرات بالاعتداء عليهرياضة محليةزغلول صيام يكتب: الرئيس قالها صريحة “المسئولين عننا لازم يكونوا مننا” و”كشافين متجردين”.. هو إحنا لسه هنشكل لجان واجتماعات!منوعاتوزير التخطيط يبحث مع البنك الدولي تعزيز التعاون وإطلاق حلول تمويلية مبتكرةرياضة محليةفي إطار خطة إنهاء الملفات المالية، قرار من إدارة الزمالك قبل انطلاق الموسم الجديدسياسةمرحلة ما بعد نتنياهو.. لقادة المعارضة: كيف ستنظرون إلى الحق الفلسطيني؟منوعاتوزير الصحة يبحث سبل التعاون مع شركة «راي» المتخصصة في الاستشارات الهندسية والمستشفيات الذكيةاقتصادوزير التخطيط يبحث مع قيادات مجموعة البنك الدولى تعزيز التنمية المستدامةرياضة محليةالسيسي يستقبل رئيس الإمارات بالعلمين (فيديو وصور)رياضة محليةلمناقشة الخطة السنوية للعمل، اللجنة العليا للمصالحات بالأزهر الشريف تعقد اجتماعها الدوريرياضة محليةالأهالي يؤجرون أولادهم باليوم!، كيف يدير 6 مسجلين خطر «بورصة التسول» في إشارات المرور بالجيزة؟رياضة محليةأمن القاهرة ينقذ شخصين بعد احتجازهما داخل مصعد بالتجمع الخامس (صور)رياضة محليةهتاف استفزازي لـ لاعبي الأرجنتين قبل مواجهة إنجلترارياضة محليةتستخدم في غش البن، ضبط 2 طن نوى بلح وبسلة داخل محمصة بالفيومالعالمعمدة موسكو: الدفاع الجوي دمر حوالي 300 مسيرة أوكرانية كانت متجهة نحو العاصمة خلال 24 ساعةصحةطبيبة أطفال تقدّم نصائح “غير تقليدية” للعائلات الجديدة.. ماذا قالت؟العالمترحيب أممي واقليمي بعقد الجلسة الافتتاحية لمجلس الشعب الجديد في سوريارياضة محليةتعليم أسيوط: فوز طالبات مدرسة الخياط الثانوية بالمركز الرابع على مستوى الجمهورية في مسابقة التقرير الصحفيمنوعاتكم سجل سعر الدولار الآن؟.. آخر تحديث للعملة الأمريكية أمام الجنيهمنوعاتضبط 2600 لتر ألبان فاسدة قبل بيعها بالأسواق في بني سويفسياسةتوترات أمنية في الزاوية الليبية بعد مقتل 4 أشخاصمنوعاتكشف ملابسات تضرر شخص من قيام مروجي مخدرات بالاعتداء عليهرياضة محليةزغلول صيام يكتب: الرئيس قالها صريحة “المسئولين عننا لازم يكونوا مننا” و”كشافين متجردين”.. هو إحنا لسه هنشكل لجان واجتماعات!منوعاتوزير التخطيط يبحث مع البنك الدولي تعزيز التعاون وإطلاق حلول تمويلية مبتكرةرياضة محليةفي إطار خطة إنهاء الملفات المالية، قرار من إدارة الزمالك قبل انطلاق الموسم الجديدسياسةمرحلة ما بعد نتنياهو.. لقادة المعارضة: كيف ستنظرون إلى الحق الفلسطيني؟منوعاتوزير الصحة يبحث سبل التعاون مع شركة «راي» المتخصصة في الاستشارات الهندسية والمستشفيات الذكيةاقتصادوزير التخطيط يبحث مع قيادات مجموعة البنك الدولى تعزيز التنمية المستدامةرياضة محليةالسيسي يستقبل رئيس الإمارات بالعلمين (فيديو وصور)
أسعار
دولار أمريكي49.62EGPيورو56.68EGPجنيه إسترليني66.53EGPريال سعودي13.23EGPدرهم إماراتي13.51EGPدينار كويتي160.43EGPدينار أردني69.99EGPريال قطري13.63EGPليرة تركية1.06EGPيوان صيني7.31EGPذهب 246,575.49EGP/جمذهب 215,753.55EGP/جمذهب 184,931.61EGP/جمفضة95.75EGP/جم
دولار أمريكي49.62EGPيورو56.68EGPجنيه إسترليني66.53EGPريال سعودي13.23EGPدرهم إماراتي13.51EGPدينار كويتي160.43EGPدينار أردني69.99EGPريال قطري13.63EGPليرة تركية1.06EGPيوان صيني7.31EGPذهب 246,575.49EGP/جمذهب 215,753.55EGP/جمذهب 184,931.61EGP/جمفضة95.75EGP/جم
خبر عاجل
علوم وتكنولوجيا

رسالة واتساب واحدة تحول “OpenClaw” إلى ثغرة لاختراق الأجهزة عن بُعد


كشف باحثون عن ثلاث ثغرات أمنية عالية الخطورة في “OpenClaw“، مساعد البرمجة مفتوح المصدر المعتمد على الذكاء الاصطناعي، والذي حصد 381 ألف نجمة على منصة “غيت هاب”، تتيح للمهاجمين تنفيذ تعليمات برمجية عن بُعد عبر رسالة واحدة فقط من تطبيق واتساب.

وتُظهر هذه الثغرات، التي تم التأكد من إمكانية استغلالها في إصدار OpenClaw 2026.6.1، ضعفًا هيكليًا في الطريقة التي يتعامل بها وكلاء الذكاء الاصطناعي مع المدخلات غير الموثوقة القادمة من تطبيقات المراسلة، بحسب تقرير لموقع “Cyber Security News” المتخصص في أخبار الأمن السيبراني، اطلعت عليه “العربية Business”.

و”OpenClaw” هو مساعد ذكاء اصطناعي يمكن استضافته ذاتيًا، ويتصل بتطبيقات واتساب وتيليغرام وتيمز وسلاك وديسكورد، ما يتيح للمستخدمين إرسال طلبات برمجية إليه بالطريقة نفسها التي يراسلون بها أحد زملاء العمل.

ويستطيع المساعد كتابة الأكواد البرمجية، وتشغيل أوامر Shell، وإدارة الملفات، ويستخدمه أكثر من 100 ألف مستخدم نشط يوميًا. إلا أن الباحثين وجدوا أن هذه القدرة على تنفيذ الأوامر تمثل أيضًا نقطة الضعف الأساسية فيه.

ثغرات متعددة في OpenClaw

تشمل الثغرات الثلاثة التي اكتشفها الباحثون الآتي:

ثغرة تجاوز فلترة متغيرات البيئة (بدرجة خطورة CVSS 8.8): تعتمد وظيفة sanitizeEnvVars() في OpenClaw على حظر بعض متغيرات النظام التي قد تحتوي على بيانات اعتماد، لكنها لا تتحقق من 12 متغيرًا آخر تُستخدم عند بدء تشغيل البرامج، ما يسمح للمهاجمين بتشغيل تعليمات برمجية خبيثة قبل تنفيذ البرنامج المطلوب.

– ثغرة تنفيذ أوامر عن بُعد عبر Git (بدرجة خطورة CVSS 8.8): يمكن للمهاجم إعادة تفعيل ميزة تكون معطلة افتراضيًا في أداة Git باستخدام إعداد معين داخل أمر git clone، ما يسمح بتنفيذ أوامر على النظام المستهدف بحجة تصحيح الأخطاء.

– ثغرة تجاوز قيود بيئة العزل (بدرجة خطورة CVSS 8.4): تمنع بيئة العزل Docker الوصول المباشر إلى مجلدات حساسة، لكن طريقة التحقق الحالية تحتوي على ثغرة تسمح بالوصول إليها بشكل غير مباشر عبر مجلدات رئيسية، ما قد يتيح للمهاجم الوصول إلى مفاتيح SSH وملفات حساسة أخرى، بل وحتى السيطرة على الخادم الذي يشغّل التطبيق.

واستعرض الباحث تشينموهان نايك سلسلة الاستغلال من خلال إرسال رسالة عبر واتساب صيغت على أنها طلب اعتيادي لتصحيح أخطاء، وجاء فيها: “أقوم بتصحيح مشكلة تسرب للذاكرة في Node.js ضمن بيئة الإنتاج، يرجى تنفيذ هذه الأوامر…”.

واستخدمت الحمولة الخبيثة متغير NODE_OPTIONS لتمرير برنامج نصي ضار، نُفذ بصلاحيات كاملة للوصول إلى نظام الملفات قبل تشغيل الأمر المقصود. واستجاب نموذج Claude Sonnet 4، الذي كان يشغل وكيل الذكاء الاصطناعي في الاختبار، دون تردد، كما نسق المخرجات وعرض تقديم مزيد من المساعدة.

وأشار الباحثون إلى أن المشكلة الأساسية لا تكمن في تدريب نموذج Claude Sonnet 4 على السلامة، بل في قيد جوهري يتمثل في أن النموذج لا يستطيع التمييز بين طلب مشروع من مطور وطلب صاغه مهاجم بالطريقة نفسها.

كما تزيد ذاكرة الجلسة من تعقيد المشكلة، إذ يصبح النموذج أكثر حذرًا بعد رفض حمولة ضارة خلال محادثة معينة، لكن بدء جلسة جديدة يعيد مستوى الثقة إلى الصفر، ما يمنح المهاجمين عددًا غير محدود من محاولات إعادة الاستغلال.

إجراءات احتياطية

ينبغي على من يشغلون “OpenClaw” اتخاذ الإجراءات التالية على الفور:

– الترقية إلى الإصدار 2026.6.6 أو أحدث، والذي يعالج الثغرات الثلاث جميعها.

– إزالة أداة exec من قائمة الأدوات المسموح بها، ما لم تكن ضرورية للغاية للقنوات غير الموثوقة.

– تفعيل وضع Sandbox (أي بيئة العزل) للجلسات غير الأساسية.

– تقييد سياسات إقران الرسائل المباشرة لمنع الأرقام غير الموثوقة من الوصول إلى وكيل الذكاء الاصطناعي.

– تغيير بيانات الاعتماد إذا كان النظام متاحًا للعامة قبل تثبيت التحديثات الأمنية.

المصدر: العربية – تكنولوجيا

0 مشاهدة

أضف تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *