ثغرة ClawJacked: مواقع خبيثة تسيطر على وكلاء OpenClaw عبر المضيف المحلي

تمكنت منصة OpenClaw من معالجة ثغرة ClawJacked الأمنية عالية الخطورة، والتي كانت تسمح للمواقع الإلكترونية الخبيثة بالسيطرة الكاملة على وكلاء الذكاء الاصطناعي (AI Agents) التي تعمل محلياً. ووفقاً لتقرير صادر عن شركة Oasis Security، فإن هذه الثغرة لم تكن موجودة في إضافات خارجية، بل في النظام الأساسي لبوابة OpenClaw نفسها. وتعتمد آلية الهجوم على استدراج المطور لزيارة موقع ويب خبيث، حيث تقوم أكواد JavaScript بتنفيذ اتصال صامت عبر بروتوكول WebSocket مع المضيف المحلي (Localhost) الخاص بالمطور. وبخلاف الاتصالات الخارجية التي تتطلب موافقة، كانت البوابة تخفف القيود الأمنية للاتصالات المحلية، مما يسمح بتسجيل أجهزة جديدة تلقائياً دون أي تدخل أو تأكيد من المستخدم.

استجابة لهذا الكشف، أصدرت OpenClaw الإصدار رقم 2026.2.25 بتاريخ 26 فبراير 2026 لإغلاق الثغرة نهائياً، مع توصيات مشددة للمستخدمين بتحديث أنظمتهم فوراً. ويأتي هذا بعد إصلاح ثغرة أخرى خطيرة في الإصدار 2026.2.13 الصادر في 14 فبراير 2026، والتي كانت تتعلق بـ "تسميم السجلات" (Log Poisoning). سمحت تلك الثغرة للمهاجمين بكتابة محتوى خبيث في ملفات السجل عبر منفذ TCP رقم 18789، مما قد يؤدي إلى التلاعب بمنطق الوكيل الذكي ودفعه لاتخاذ قرارات خاطئة أو الكشف عن بيانات حساسة أثناء عمليات استكشاف الأخطاء وإصلاحها (Troubleshooting).

شهدت الأسابيع الأخيرة اكتشاف سلسلة من الثغرات في بيئة OpenClaw، شملت CVE-2026-25593 و CVE-2026-24763، والتي تراوحت بين تنفيذ تعليمات برمجية عن بُعد وتزوير الطلبات من جانب الخادم (SSRF). وبالتوازي مع ذلك، كشفت تقارير أمنية عن استغلال متجر المهارات ClawHub لنشر برمجيات خبيثة. وأوضحت شركة Trend Micro أن مهارات تبدو بريئة تُستخدم لتثبيت برمجية Atomic Stealer المتخصصة في سرقة المعلومات على أنظمة macOS، والمرتبطة بمجموعة الجرائم الإلكترونية Cookie Spider. تبدأ سلسلة العدوى بتعليمات يتم جلبها من النطاق openclawcli.vercel.app، لتنفيذ أمر تحميل البرمجية الخبيثة من عنوان IP الخارجي 91.92.242.30.

رصد الباحثون نشاطاً لجهة تهديد تحمل الاسم @liuhui1010، تقوم بترك تعليقات على صفحات المهارات الشرعية تحث المستخدمين على تنفيذ أوامر محددة عبر تطبيق الطرفية (Terminal) بدعوى إصلاح مشاكل التوافق مع نظام macOS. تهدف هذه الأوامر فعلياً إلى تحميل برمجية Atomic Stealer من نفس العنوان 91.92.242.30 الموثق سابقاً. وفي سياق متصل، كشف تحليل أجرته شركة Straiker لعدد 3,505 مهارة على ClawHub عن وجود 71 مهارة خبيثة، من بينها bob-p2p-beta و runware، والتي كانت جزءاً من عملية احتيال معقدة لسرقة العملات الرقمية وتحويلها إلى محافظ المهاجمين.

يُظهر اكتشاف ثغرة ClawJacked تحولاً خطيراً في مشهد أمن الذكاء الاصطناعي، حيث يُسقط المهاجمون فرضية أن "البيئة المحلية" (Localhost) آمنة بطبيعتها. مع منح وكلاء الذكاء الاصطناعي صلاحيات واسعة للوصول إلى الأنظمة وتنفيذ المهام، فإن أي ثغرة في بروتوكولات الاتصال المحلي تتحول إلى بوابة خلفية كارثية. هذا الواقع يفرض على المؤسسات والمطورين التعامل مع الهويات غير البشرية (Agentic Identities) بنفس صرامة التعامل مع المستخدمين ذوي الامتيازات العالية، مما يستوجب تطبيق مبدأ "انعدام الثقة" (Zero Trust) حتى على الاتصالات الداخلية وعزل بيئات تشغيل الوكلاء عن المتصفحات العامة.