تقرير من شركة الأمن السيبراني Certik بتاريخ 16/3/2026 يحذر من أن Openclaw – منصة الذكاء الاصطناعي مفتوحة المصدر – تحتوي على العديد من الثغرات الأمنية، خاصة أن آلية “مسح المهارات” غير كافية لحماية المستخدمين من الإضافات (المهارات) الضارة من طرف ثالث.
ووفقًا للتقرير، يعتمد نموذج أمان Openclaw بشكل مفرط على الكشف والتنبيه، بدلاً من العزل أثناء التشغيل (عزل وقت التشغيل)، مما يجعل المستخدمين عرضة للاختراق على مستوى النظام.
قيود عملية مراجعة Clawhub
على سوق Openclaw، يتم مراجعة “المهارات” – التطبيقات من طرف ثالث التي توفر قدرات مثل أتمتة الأنظمة أو إدارة محافظ العملات الرقمية – من خلال عدة طبقات، تشمل Virustotal لفحص الشيفرة الخبيثة المعروفة، ومحرك المراجعة الثابتة (Static Moderation Engine) للكشف عن الأنماط المشبوهة، وأداة “كاشف التناقضات” للتحقق من الفارق بين الهدف المعلن للمهارة وسلوكها الفعلي.
ومع ذلك، ترى Certik أن القواعد الثابتة يمكن تجاوزها ببساطة عن طريق إعادة كتابة الشيفرة. طبقة تقييم الذكاء الاصطناعي تكتشف النوايا الواضحة فقط، بينما الثغرات المخفية في الشيفرة التي تبدو معقولة قد تُغفل.
ثغرة “Pending”
نقطة ضعف مهمة تتعلق بكيفية معالجة نتائج الفحص المعلقة. لا تزال المهارة قابلة للتثبيت حتى لو لم يرد نظام Virustotal بعد، وقد تستغرق هذه العملية عدة ساعات أو أيام، ومع ذلك يُعتبر النظام أنها “آمنة”.
ولتوضيح ذلك، أنشأ باحثو Certik مهارة إثبات مفهوم باسم “test-web-searcher”. تبدو هذه المهارة عادية، لكنها تحتوي على ثغرة تسمح بتنفيذ أوامر عشوائية على الخادم. عند تشغيلها عبر Telegram، تتجاوز هذه المهارة الحماية الافتراضية (sandbox) لـ Openclaw وتقوم الحاسبة على جهاز الاختبار – وهو مثال واضح على اختراق النظام بشكل كامل.
التوصيات والتحذيرات
خلص التقرير إلى أن الكشف لا يمكن أن يحل محل الحدود الأمنية الحقيقية. توصي Certik بأن تقوم Openclaw بتشغيل المهارات من طرف ثالث في بيئة معزولة بشكل افتراضي، وأن يُطلب من المهارات التصريح بمتطلبات الموارد بشكل واضح، على غرار أنظمة التشغيل الحديثة للهواتف المحمولة.
كما يُحذر المستخدمون من أن علامة “benign” على Clawhub لا تعني بالضرورة الأمان. وحتى يتم تطبيق آلية عزل أقوى بشكل افتراضي، ينبغي استخدام المنصة في بيئات ذات قيمة منخفضة، وتجنب المعلومات الحساسة أو الأصول المهمة.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
