.png){kind=small}
أصدرت شركة "سيرتيك" المتخصصة في أمن الويب 3 يوم الاثنين تقريراً أمنياً شاملاً حول إطار عمل "أوبن كلاو" مفتوح المصدر لوكلاء الذكاء الاصطناعي، حيث كشفت النتائج أن المنصة جمعت أكثر من 280 تنبيهاً أمنياً على "جيت هاب" وأكثر من 100 ثغرة مسجلة في قاعدة بيانات "سي في إي" خلال أربعة أشهر فقط، مما يعكس فجوة خطيرة بين النمو السريع للأداة وبنيتها الأمنية التي لم تواكب ظروف النشر الواقعي.
.webp "الصين تحذر من أداة الذكاء الاصطناعي أوبن كلاو")
وجاء التقرير بالتزامن مع موجة من التحذيرات الحكومية الصينية، حيث أصدرت الإدارة الوطنية الصينية للملكية الفكرية تنبيهاً بالمخاطر في نفس اليوم محذرة من أن أدوات وكلاء الذكاء الاصطناعي مثل "أوبن كلاو" قد تتسبب في تسريب معلومات تقنية حساسة وتقويض طلبات براءات الاختراع، مما يضيف بعداً جديداً للمخاطر المرتبطة بهذه المنصة التي تجاوزت 300,000 نجمة على "جيت هاب" منذ إطلاقها في نوفمبر 2025.
ومن بين أخطر الثغرات الأمنية التي تم تحديدها هي "سي في إي-2026-25253"، والتي حصلت على تقييم 8.8 على مقياس "سي في إس إس"، حيث سمحت للمهاجمين عن بُعد بسرقة رموز المصادقة من خلال رابط مُصمم خصيصاً وتحقيق تنفيذ التعليمات البرمجية عن بُعد بنقرة واحدة، كما تم الكشف مؤخراً عن "سي في إي-2026-32922" في 29 مارس، والذي حصل على درجة 9.9 شبه القصوى على مقياس "سي في إس إس"، مما يسمح لأي جهاز مقترن بتصعيد الصلاحيات إلى السيطرة الإدارية الكاملة من خلال استدعاء واجهة برمجة تطبيقات واحد فقط.
وأصبح النظام البيئي للإضافات والمهارات في "أوبن كلاو" بمثابة ناقل رئيسي لهجمات سلسلة التوريد، حيث حدد باحثو الأمن السيبراني المئات من المهارات الضارة على سوق "كلاو هاب" التابع للمنصة، إلى جانب برامج تثبيت مزيفة وحزم "إن بي إم" شبيهة مصممة لسرقة محافظ العملات المشفرة وكلمات مرور المتصفحات وبيانات اعتماد السحابة، مما يعكس تحدياً فريداً في أمن وكلاء الذكاء الاصطناعي حيث يمكن للبرمجيات الخبيثة التأثير على سلوك الوكيل من خلال مدخلات اللغة الطبيعية التي تقاوم أدوات المسح التقليدية.
وحدد فريق الاستخبارات الأمنية "سترايك" التابع لشركة "سيكيوريتي سكور كارد" أكثر من 135,000 نسخة من "أوبن كلاو" متاحة عبر الإنترنت في 82 دولة، حيث تعمل 63% منها دون مصادقة، مما يعكس مشكلة انتشار واسعة النطاق ناتجة عن إعدادات افتراضية غير آمنة، حيث كانت المصادقة معطلة افتراضياً في العديد من عمليات النشر، دون وجود قيود على معدل محاولات تسجيل الدخول وقبول اتصالات "ويب سوكت" دون التحقق من المصدر.
ويُنصح المستخدمون والمؤسسات في المنطقة باتخاذ إجراءات وقائية فورية تشمل تقييد ارتباط الشبكة بالحلقة المحلية فقط، وتفعيل المصادقة الصارمة على جميع القنوات، وعزل عمليات النشر في بيئات خاضعة للرقابة باستخدام تقنيات مثل الحاويات، مع مراقبة مستمرة لتحديثات الأمان وتطبيق التصحيحات فور توفرها، والتأكد من أن الإضافات والمهارات يتم تثبيتها فقط من قنوات موثوقة ومُتحقق منها لتقليل مخاطر هجمات سلسلة التوريد.
التقرير الأمني الشامل الذي أصدرته شركة CertiK عن مشروع OpenClaw متوفر عبر موقع الشركة في ملف PDF مخصص باسم: “OpenClaw Security Report” رابط مباشر
.webp)