- اكتشف باحثو الأمن في شركة Oasis ثغرة شديدة الخطورة في وكيل OpenClaw AI
- سمح الاستغلال لمواقع الويب الضارة بفرض مصادقة البوابة المحلية والحصول على التحكم الكامل
- تم تصحيح الثغرة الأمنية خلال 24 ساعة؛ حث المستخدمين على الترقية إلى الإصدار 2026.2.25 أو الأحدث
حذّر الخبراء من أن OpenClaw، منصة وكيل الذكاء الاصطناعي مفتوحة المصدر المشهورة على نطاق واسع، كانت عرضة لخلل شديد الخطورة سمح للجهات الفاعلة في مجال التهديد بسرقة البيانات الحساسة من أجهزة الكمبيوتر المستهدفة بسهولة نسبية.
تم اكتشاف الخطأ من قبل الباحثين الأمنيين في Oasis، وتم تصحيحه بعد الكشف المسؤول عنه.
بالنسبة لأولئك الذين ليسوا على دراية بـ OpenClaw، فهو وكيل AI يقوم المستخدمون بتثبيته على أجهزة الكمبيوتر الخاصة بهم والتفاعل معه من خلال لوحة تحكم الويب أو المحطة الطرفية. تتصل الأداة بالتقويمات وتطبيقات المراسلة ويمكنها الرد على رسائل البريد الإلكتروني وإعداد أحداث التقويم والمزيد. وهو حاليًا أحد أشهر مشاريع الذكاء الاصطناعي، مع أكثر من 100000 نجمة على GitHub.
القوة الغاشمة لإجبار كلمة المرور
لكن تصميم الأداة ذاته ترك ثغرة أمنية كبيرة، والتي، وفقًا لشركة Oasis، من السهل نسبيًا استغلالها. ولا يتطلب ملحقًا تابعًا لجهة خارجية أو تسوية سابقة أو أي شيء من هذا القبيل. كل ما على الضحية فعله هو زيارة موقع ويب ضار.
وأوضح الباحثون: “ما وجدناه مختلف. تكمن ثغرتنا في النظام الأساسي نفسه – لا توجد مكونات إضافية، ولا سوق، ولا ملحقات مثبتة بواسطة المستخدم – فقط بوابة OpenClaw العارية، التي تعمل تمامًا كما هو موثق”.
وفي شرح كيفية عمل الخطأ، تقول Oasis إن OpenClaw يدير خادم WebSocket محلي يتعامل مع المصادقة، والمزيد. تتصل العقد، مثل التطبيقات المصاحبة والأجهزة الأخرى، بالبوابة، وتكشف الإمكانات، وتقوم بتشغيل أوامر النظام، والوصول إلى الكاميرا (من بين أشياء أخرى). يمكن للبوابة إرسال الأوامر إلى أي عقدة متصلة.
تتم معالجة المصادقة إما عبر رمز مميز أو كلمة مرور، وترتبط البوابة بالمضيف المحلي افتراضيًا.
إذا زار الضحية موقع ويب ضار، فيمكن لجافا سكريبت الخاص به فتح اتصال WebSocket بالمضيف المحلي، وفرض كلمة مرور البوابة بسهولة، والمصادقة كجهاز موثوق به بالكامل.
وخلصت أويسيس إلى أنه بمجرد حدوث ذلك، “يتمتع المهاجم بالسيطرة الكاملة”. “يمكنهم التفاعل مع وكيل الذكاء الاصطناعي، وتفريغ بيانات التكوين، وتعداد الأجهزة المتصلة، وقراءة السجلات.”
تم نشر الإصلاح بعد 24 ساعة من الكشف الأولي، ونحث المستخدمين على ترقية مثيلاتهم إلى الإصدار 2026.2.25 أو أحدث.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات