كشف الباحث الأمني، شينموهان ناياك، عن ثلاث ثغرات أمنية حرجة في منصة OpenClaw، تتيح للمهاجمين تنفيذ تعليمات برمجية عن بُعد على الجهاز المضيف باستخدام رسالة WhatsApp واحدة فقط.
وقد برهن الباحث مختبرياً على إمكانية دمج هذه الثغرات في سلسلة هجومية متكاملة ضد الإصدار OpenClaw 2026.6.1 وما قبله، ما يسلط الضوء على فجوة بنيوية عميقة في كيفية معالجة وكلاء الذكاء الاصطناعي للمدخلات غير الموثوقة القادمة عبر قنوات المراسلة الفورية.
ووفقاً للتقرير الشامل الذي نشره الباحث، صُنفت جميع نقاط الضعف المكتشفة بدرجات خطورة مرتفعة تتراوح بين 8.4 و8.8 درجات وفقاً لنظام تقييم الثغرات المشترك (CVSS). وقد تم اختبار هذا الهجوم بنجاح على النموذج اللغوي Claude Sonnet 4 من شركة Anthropic.
التشريح الفني لسلسلة الثغرات الثلاث
تتألف سلسلة الاختراق من ثلاث نقاط ضعف رئيسية تعمل معاً لتجاوز الدفاعات الأمنية للمنصة:
الثغرة الأولى: تجاوز مرشح متغيرات البيئة (GHSA-hjr6-g723-hmfm – CVSS 8.8)
تتمثل في قصور ضمن آلية تنقية متغيرات البيئة داخل دالة sanitizeEnvVars(). وعلى الرغم من أن الدالة تتحقق من البيانات التي تشبه مؤشرات الاعتماد وتحظرها، إلا أنها تتغافل عن 12 متغيراً حرجاً مخصصاً لتشغيل المفسِرات البرمجية، مثل NODE_OPTIONS وBASH_ENV وPYTHONSTARTUP. ويتيح هذا الإغفال للمهاجمين حقن برمجيات خبيثة تنفذ تلقائياً قبل بدء تشغيل السكريبت الأصلي.
الثغرة الثانية: حقن أوامر عبر أداة Git (GHSA-9969-8g9h-rxwm – CVSS 8.8)
تستغل هذه الثغرة إمكانية إعادة تفعيل بروتوكول النقل الخارجي ext:: في أداة Git عبر تنفيذ الأمر git clone مصحوباً بالخيار -cprotocol.ext.allow=always. يسمح هذا التجاوز بتشغيل أوامر عشوائية على النظام بذريعة محاكاة خطأ برمجي في بيئة التكامل المستمر (CI).
الثغرة الثالثة: تجاوز وضع الحماية في Docker (GHSA-575v-8hfq-m3mc – CVSS 8.4)
تعمل على خطف الصلاحيات عبر تجاوز نظام بيئة الحماية المعزولة. فحين تحظر المنصة الربط المباشر للمجلدات الحساسة مثل مجلد مفاتيح التشفير ~/.ssh أو بيانات الحوسبة السحابية ~/.aws، فإنها تكتفي بفحص المسارات الداخلية المباشرة فقط دون منع ربط الأدلة الأبوية الحاضنة لها. يمنح هذا الخطأ المهاجم القدرة على ربط مسارات أوسع مثل /home أو /var والوصول الكامل إلى مفاتيح SSH وبيانات الاعتماد المخزنة.
إثبات المفهوم وسيكولوجية الهندسة الاجتماعية للذكاء الاصطناعي
وفي تجربة عملية لإثبات مفهوم الهجوم (PoC)، أرسل ناياك رسالة إلى وكيل OpenClaw عبر تطبيق WhatsApp تبدو كطلب برمجي اعتيادي: “أقوم بتصحيح تسريب ذاكرة في Node.js في بيئة الإنتاج، الرجاء تشغيل هذه الأوامر…”. وتضمنت الرسالة حمولة خبيثة ممررة عبر المتغير NODE_OPTIONS لتُنفّذ بصلاحيات كاملة على نظام الملفات قبل الأمر الأساسي.
وتجاوب نموذج Claude Sonnet 4، الذي يصنف ضمن أكثر النماذج التزاماً بمعايير الأمان، مع الطلب مباشرة دون أي تحفظ، وقام بتنسيق المخرجات وتقديم الدعم البرمجي. وبالمثل، نجحت محاولة هجومية أخرى استهدفت حيلة Git بعد صياغتها في إطار إعادة إنتاج خطأ في مسار التطوير المستمر (CI).
وأظهرت التجارب أن المحاولات الصريحة لحقن الأوامر قوبلت برفض النموذج في نحو 40% من الحالات. ومع ذلك، حققت الحمولات ذاتها نجاحاً كاملاً بنسبة 100% بمجرد إدراجها ضمن سياق تطويري مألوف وخداع النموذج سياقياً.
ويؤكد الباحث أن جذر المشكلة يكمن في خلل بنيوي لا يرتبط بمدى تدريب النموذج على مبادئ السلامة، بل بعدم قدرته على التمييز بين طلب المطور الشرعي والطلب الخبيث إذا تشابهت صياغتهما السياقية. وتلعب ذاكرة الجلسة دوراً مؤثراً هنا؛ فعندما يرفض النموذج حمولة معينة يصبح أكثر حذراً وتشككاً خلال المحادثة نفسها، لكن فتح جلسة جديدة يُصفر مستوى الحذر تماماً، ما يمنح المهاجم فرصة لتكرار المحاولات بلا قيود.
الحلول والإجراءات الوقائية العاجلة
التزم الباحث ببروتوكول الإفصاح المسؤول وأبلغ مطوري OpenClaw بالنتائج قبل نشر التقرير للعامة. واستجابة لذلك، أطلقت الجهة المطورة الإصدار الآمن 2026.6.6 الذي يعالج الثغرات الثلاث بشكل كامل.
وعلى الرغم من عدم وجود دلائل تشير إلى استغلال هذه الثغرات في البيئات الفعلية حتى الآن، إلا أن بساطة تنفيذ الهجوم عبر تطبيق مراسلة يومي تضع المنشآت أمام مخاطر حقيقية. وبناء على ذلك، يُوصى مسؤولو الأنظمة باتخاذ التدابير الوقائية الفورية التالية:
- الانتقال العاجل إلى الإصدار 2026.6.6 أو ما يليه.
- إلغاء أداة التنفيذ exec من القائمة البيضاء للمصادر غير الموثوقة ما لم تكن هناك حاجة فعلية لها.
- تفعيل وضع بيئة الحماية المعزولة للجلسات الثانوية لمنع تمدد الصلاحيات.
- فرض سياسات أمنية تمنع الأرقام غير المعرفة على WhatsApp من الاتصال بالوكيل أو إرسال أوامر له.
- تجديد وتدوير كافة بيانات الاعتماد، ومفاتيح SSH، والمفاتيح الأمنية إذا كانت المنصة متاحة للاستخدام العام قبل معالجة هذه الثغرات.








