كشف باحثون عن ثلاث ثغرات أمنية تعد عالية الخطورة في تطبيق"OpenClaw"، وهو مساعد البرمجة مفتوح المصدر والمعتمد على الذكاء الاصطناعي، والذي قد حصد حوالي 381 ألف نجمة على منصة "حيت هاب"، مما قد يتيح للمهاجمين من إمكانية تنفيذ العديد من التعليمات البرمجية عن بُعد وذلك عبر رسالة واحدة فقط من تطبيق واتساب.

ضعفًا هيكليًا
وقد تُظهر هذه الثغرات، والتي تم التأكد من إمكانية استغلالها في إصدار OpenClaw 2026.6.1، وذلك لضعفًهاا هيكليًا في الطريقة التي يتعامل بها وكلاء الذكاء الاصطناعي مع العديد من المدخلات غير الموثوقة القادمة من تطبيقات المراسلة.
ويعدتطبيق “OpenClaw”مساعد ذكاء اصطناعي يمكن القيام باستضافته ذاتيًا، مما يتيح للمستخدمين إمكانية إرسال طلبات برمجية إليه وبالطريقة نفسها التي يراسلون بها أحد زملاء العمل.
ويستطيع المساعد من إمكانية كتابة الأكواد البرمجية، والثيام بتشغيل أوامر Shell، وإدارة الملفات، يمكن لأكثر من 100 ألف مستخدم استخدامه يوميًا. إلا أن الباحثين وجدوا أن هذه القدرة على تنفيذ الأوامر تمثل أيضًا نقطة الضعف الأساسية فيه.
إجراءات احتياطية
ينبغي على من يشغلون "OpenClaw" اتخاذ الإجراءات التالية على الفور:
- الترقية إلى الإصدار 2026.6.6 أو الترقية إلى إصدار أحدث، والذي يعالج الثغرات الثلاث جميعها.
- إزالة أداة exec من قائمة الأدوات المسموح بها، ما لم تكن ضرورية للغاية للقنوات غير الموثوقة.
- تفعيل وضع Sandbox وذلك للجلسات غير الأساسية.
- تقييد سياسات إقران للعديد من الرسائل المباشرة ولمنع الأرقام غير الموثوقة من الوصول إلى وكيل الذكاء الاصطناعي.
- تغيير بيانات الاعتماد إذا كان النظام متاحًا للعامة قبل تثبيت التحديثات الأمنية.