كشفت أبحاث أمنية عن مسارين مختلفين لاستغلال وكيل الذكاء الاصطناعي OpenClaw؛ يعتمد المسار الأول على حقن أوامر مخفية داخل عناصر رسائل تبدو اعتيادية، بينما يستغل المسار الآخر رسائل بريدية مقنعة لدفع الوكيل إلى إرسال بيانات حساسة إلى جهات خارجية.
أظهرت شركة Imperva أن التعليمات المخفية داخل جهات الاتصال المشتركة، أو بطاقات vCard، أو إحداثيات المواقع الجغرافية، يمكن أن تصل إلى نموذج اللغة الكبير (LLM) كجزء من سياق الرسالة دون أن يراها المستخدم. وأدى ذلك في بيئات الاختبار إلى تنفيذ تعليمات تُجبر النظام على تنزيل وتشغيل برمجيات خبيثة من خادم يسيطر عليه الباحثون.
خلل في حدود الثقة
تعود المشكلة التي رصدتها Imperva إلى آلية تمرير OpenClaw لبعض كائنات الرسائل إلى نموذج اللغة؛ فبدلاً من فصل هذه الكائنات بوضوح باعتبارها بيانات غير موثوقة، أُدرجت بعض الحقول داخل نص الطلب نفسه، وهو ما أفقد النموذج القدرة على التمييز بين الاسم الحقيقي لجهة الاتصال وبين التعليمات البرمجية المزروعة داخله.
أوضحت Imperva أنها أبلغت فريق تطوير OpenClaw بهذا الخلل، وبناء عليه صدر إصلاح أمني في النسخة رقم 2026.4.23، يعتمد على نقل أسماء جهات الاتصال، وحقول vCard، وتسميات المواقع إلى قناة بيانات وصفية غير موثوقة بدلاً من إدراجها مباشرة في متن الطلب. ومع ذلك، أشارت الشركة إلى أن نمط هذا الخطر يمتد إلى مساعدين شخصيين آخرين يتعاملون مع كائنات الرسائل الغنية بالطريقة نفسها تقريباً.
البريد العادي كمسار للهجوم
وفي مسار منفصل، اختبرت Varonis Threat Labs وكيلاً مبنياً على OpenClaw داخل صندوق بريد Gmail يحتوي على بيانات أعمال اصطناعية، تشمل مفاتيح AWS وهمية، وسجلات عملاء، وملفات داخلية. وأظهرت التجارب أن رسالة بريدية واحدة بصياغة تجارية عادية كانت كافية لتوجيه الوكيل نحو البحث عن بيانات حساسة وإرسالها إلى عنوان خارجي.
في أحد السيناريوهات، انتحل المهاجم صفة قائد فريق وطلب بيانات اعتماد خاصة ببيئة اختبار بدعوى وجود مشكلة في خط الإنتاج، فاستجاب الوكيل بالبحث عن المفاتيح، وكلمات المرور، وسلاسل الاتصال بقواعد البيانات، ثم أرسلها كنص صريح. وفي سيناريو آخر، طلب المهاجم تصدير بيانات العملاء لاستخدامها في عرض أعمال، فأرسل الوكيل مجموعة بيانات اصطناعية تضم معلومات تعاقدية وتجارية تخص 247 عميلاً.
مشكلة لا تحلها الإصلاحات وحدها
توضح هذه النتائج أن الخطر يتجاوز مجرد وجود ثغرة برمجية يمكن تصحيحها عبر تحديث أمني؛ إذ يعود أساس المشكلة إلى بنية الثقة الخاصة بوكلاء الذكاء الاصطناعي، وتحديداً عند جمعهم بين صلاحيات قراءة البيانات الخاصة، واستقبال محتوى غير موثوق، والقدرة على شحن البيانات أو تنفيذ الأوامر. وتتسع هذه المخاطر في حالة OpenClaw نظراً لصلاحياته الواسعة في التعامل مع الملفات، والأوامر، وقنوات المراسلة.
توصي Varonis المؤسسات بالتعامل مع ملف تعليمات الوكيل كسياسة أمنية قابلة للضبط والمراجعة، مع فرض موافقة بشرية قبل إرسال البيانات لأول مرة إلى عناوين خارجية غير معروفة، فضلاً عن تقسيم صلاحيات الموصلات بناء على مستوى الثقة في القناة التي أطلقت المهمة. كما تؤكد Imperva على أهمية العزل الصريح للمحتوى غير الموثوق، لا سيما عندما يمتلك الوكيل صلاحية تنفيذ الأوامر أو الوصول إلى ملفات وخدمات خارجية.
بالنسبة للمؤسسات التي تستخدم OpenClaw، يُعد تحديث النظام إلى الإصدار 2026.4.23 أو ما يليه خطوة ضرورية لمعالجة مسار حقن التعليمات في كائنات الرسائل. أما مخاطر التصيد الموجه للوكلاء، فتتطلب ضوابط تشغيلية ومعمارية أشمل؛ نظراً لأن الوكيل قد يتصرف بسرعة وامتثال التزاماً بمواقف تبدو إدارية مألوفة، حتى في وجود قواعد تحقق مكتوبة ضمن إعداداته الحالية.
