كشفت تقارير بحثية عن وجود ثغرة أمنية حرجة من نوع النقر الصفري في إطار العمل مفتوح المصدر OpenClaw المخصص لتشغيل وكلاء الذكاء الاصطناعي. تكمن خطورة هذه الثغرة في قدرة المواقع الخبيثة على السيطرة الكاملة على وكيل الذكاء الاصطناعي الذي يعمل محلياً على جهاز المطور بمجرد زيارة صفحة ويب ملغومة، دون الحاجة لتثبيت برمجيات إضافية أو قيام المستخدم بأي إجراء يدوي.
وأوضح باحثو Oasis Security أن هذا التهديد يتجاوز اختراق المتصفح ليصل إلى مستوى السيطرة على محطة العمل، نظراً لطبيعة تشغيل OpenClaw الذي يمتلك صلاحيات واسعة للوصول إلى حسابات البريد الإلكتروني، ومنصات المراسلة، وأدوات التطوير، بالإضافة إلى الملفات المحلية الحساسة.
يعمل OpenClaw، الذي عرف سابقاً باسمي Clawdbot و MoltBot، كوكيل مستضاف ذاتياً ينفذ مهاماً نيابة عن المستخدم عبر الربط بين خدمات متعددة. ويستند النظام في عمله إلى بوابة محلية تستقبل البيانات عبر بروتوكول WebSocket على عنوان الاستضافة المحلي localhost. وتبدأ سلسلة الاستغلال عندما تشغل صفحة الويب الخبيثة تعليمات JavaScript تهدف للاتصال المباشر بهذه البوابة، مستغلة عدم وجود قيود تلقائية في المتصفحات تمنع اتصالات WebSocket المتجهة إلى عناوين loopback بذات الصرامة المتبعة في طلبات HTTP التقليدية.
آليات تجاوز الحماية والسيطرة الإدارية على النظام
بمجرد نجاح الاتصال الأولي، ينتقل المهاجم إلى مرحلة كسر كلمة مرور البوابة باستخدام هجمات القوة الغاشمة بمعدلات عالية، مستفيداً من خلل في سياسة تحديد معدل الطلبات. فقد تبين أن البوابة تعفي الاتصالات القادمة من خادم محلي من قيود الحماية أو عمليات التسجيل والمراقبة.
وعقب اجتياز المصادقة، يسجل المهاجم جهازه ككيان موثوق عبر خاصية الموافقة التلقائية (Auto-approve pairing) المخصصة للاتصالات المحلية، وهي عملية تتم دون إصدار تنبيهات للمستخدم. تمنح هذه الخطوة المهاجم تحكماً إدارياً كاملاً يمكنه من إصدار أوامر للوصول إلى البيانات أو تنفيذ إجراءات برمجية على الجهاز وعلى العقد المتصلة به، سواء كانت تطبيقات على نظام macOS أو أجهزة iOS مرتبطة بالشبكة.
تعود جذور هذه المشكلة الأمنية إلى افتراضات تصميمية اعتبرت الخادم المحلي منطقة موثوقة بالكامل، مع اعتقاد خاطئ بصعوبة وصول المتصفح إلى الخدمات المحلية بهذه الطريقة. وتتيح السيطرة اللاحقة للمهاجم قدرات واسعة تشمل البحث في سجلات منصة Slack لاستخراج مفاتيح واجهة برمجة التطبيقات (API Keys)، وقراءة الرسائل الخاصة، وسحب الملفات من الأجهزة المقترنة. كما يمكن للمخترق تنفيذ أوامر نظام عبر الواجهة البرمجية وفقاً لصلاحيات البيئة التي يعمل ضمنها الوكيل، ما يحول الخلل من مجرد مشكلة في تطبيق منفرد إلى ثغرة تتيح التحكم عن بعد في أسرار التطوير وبيانات العمل المؤسسي.
سياق التهديدات المتكررة وتدابير الاستجابة الأمنية
تأتي هذه الحادثة بعد أسابيع قليلة من رصد ثغرة أخرى في OpenClaw حملت الرمز CVE-2026-25253، والتي كانت تتطلب “نقرة واحدة” لتسريب رموز المصادقة عبر WebSocket وتمكين تنفيذ أوامر عن بعد. وبالرغم من خطورة الثغرة السابقة، فإن استغلال الأول من مارس 2026 يعد أكثر تطوراً لاعتماده على مجرد زيارة الموقع، ما يضع المطورين الذين يتركون الوكيل نشطاً أثناء التصفح اليومي في دائرة استهداف مباشرة. وقد أصدرت الجهات التقنية توصيات بضرورة التحديث الفوري إلى الإصدار OpenClaw 2026.2.25 أو ما يليه لمعالجة هذه الفجوات الأمنية بشكل جذري.
تتضمن إجراءات الوقاية المقترحة ضرورة إجراء جرد نشط لتركيبات OpenClaw داخل المؤسسات، خاصة وأنها قد تُثبت خارج القنوات الرسمية لتقنية المعلومات. ويُنصح المطورون بتدوير مفاتيح API وإلغاء الصلاحيات غير الضرورية، مع عزل تشغيل الوكيل داخل بيئة افتراضية أو حاوية لتقليل الارتباط بحسابات العمل الرئيسية.
كما شددت التقارير على أهمية التعامل مع localhost كسطح هجوم محتمل عبر تفعيل سياسات تدقق في مصادر الطلبات مثل Origin و Referer، مع ضرورة الانتباه للفوارق الأمنية الدقيقة عند استخدام بروتوكول WebSocket مقارنة ببروتوكول HTTP التقليدي.
