هجمات تستغل عميل الذكاء الاصطناعي OpenClaw

كشفت الأبحاث الأمنية الحديثة أن منصة OpenClaw، وهي منصة وكلاء الذكاء الاصطناعي ذاتية الاستضافة واسعة الانتشار، يمكن التلاعب بها لتنفيذ إجراءات يتحكم بها المهاجم أو الكشف عن معلومات حساسة من خلال مدخلات تبدو غير ضارة.

في تحقيقات منفصلة، أظهر الباحثون أسلوبين مختلفين للهجوم. اعتمد أحدهما على تضمين تعليمات مخفية داخل جهات الاتصال المشتركة، وبطاقات vCard، ومواقع الويب. أما الآخر فاستخدم رسائل بريد إلكتروني تصيدية مصممة بعناية لإقناع برنامج ذكاء اصطناعي بتسريب معلومات تجارية حساسة.

على الرغم من أن OpenClaw قد عالجت إحدى نقاط الضعف هذه في الإصدار 2026.4.23، إلا أن المشكلة الأوسع نطاقًا لا تزال قائمة: يمكن أن تصبح وكلاء الذكاء الاصطناعي الذين يثقون في المعلومات الواردة أدوات قوية للمهاجمين.

أوامر خفية مخفية في وضح النهار

استهدف الهجوم الأول كيفية معالجة OpenClaw لبعض كائنات الرسائل قبل إرسالها إلى نموذج اللغة الكبير الأساسي (LLM).

على عكس محتوى الويب، الذي يُصنّف بوضوح على أنه غير موثوق به قبل وصوله إلى النموذج، تم إدراج سجلات جهات الاتصال وبطاقات vCard وعلامات المواقع مباشرةً في المطالبات دون أي إشارة إلى أنها واردة من مصادر غير موثوقة. وقد أتاح ذلك فرصةً لحقن المطالبات.

استغل الهجوم طريقة معالجة OpenClaw لمعلومات الاتصال. حيث تم تحويل جهات الاتصال المشتركة إلى تنسيق بسيط يحتوي فقط على الاسم ورقم الهاتف. ولأن أحرفًا مثل الأقواس الزاوية مسموح بها في أسماء جهات الاتصال، تمكن المهاجمون من تضمين تعليمات خبيثة تبدو وكأنها جزء من معلومات الاتصال. إضافةً إلى ذلك، غالبًا ما يتم اختصار أسماء جهات الاتصال في تطبيقات المراسلة، مما يمنع الضحايا من رؤية الحمولة المخفية.

أثبتت التقنية نفسها فعاليتها من خلال حقول الاسم الكامل في بطاقة vCard وعلامات الموقع المشتركة. خلال الاختبارات على الإصدارات التجريبية من Gemini 3.1 Pro، نجحت التعليمات المخفية في إقناع البرنامج بتنزيل وتنفيذ التعليمات البرمجية من خادم يتحكم به الباحث. ومن المثير للاهتمام أن محاولات إخفاء التعليمات داخل الصور باءت بالفشل، على الأرجح لأن نماذج الذكاء الاصطناعي الحديثة تلقت تدريبًا مكثفًا ضد هجمات حقن التعليمات البرمجية القائمة على الصور. مع ذلك، لا تزال هجمات كائنات الرسائل أقل شيوعًا لدى النماذج الحالية.

حذّر الباحثون من أن وظيفة الذاكرة الافتراضية في برنامج OpenClaw قد تُفاقم التهديد. فوجود اتصال خبيث واحد أو ملف مشترك مُوزّع على نطاق واسع قد يُعرّض العديد من العملاء للخطر في حال غياب ضوابط الحماية المناسبة.

بعد الإفصاح المسؤول، أصدرت OpenClaw الإصدار 2026.4.23، الذي يفصل أسماء جهات الاتصال وحقول بطاقات vCard وعلامات المواقع عن محتوى التنبيهات، وذلك بوضعها في قناة بيانات وصفية مخصصة غير موثوقة. كما لاحظ الباحثون ظهور أنماط تصميم مماثلة في مساعدي الذكاء الاصطناعي الشخصيين الآخرين، مما يشير إلى تحدٍّ على مستوى القطاع ككل وليس مشكلة خاصة بمنصة معينة.

صعود عمليات التصيد الاحتيالي عبر العملاء

تناول مشروع بحثي ثانٍ المشكلة من زاوية مختلفة: الهندسة الاجتماعية.

قام الباحثون بإنشاء برنامج اختبار يُدعى "بينشي" وربطوه بصندوق بريد إلكتروني على Gmail يحتوي على مراسلات تجارية واقعية ولكنها مصطنعة، بالإضافة إلى بيانات حساسة وهمية. ثم أجرى الفريق أربع عمليات محاكاة للتصيد الاحتيالي باستخدام كلٍ من Google Gemini 3.1 Pro و OpenAI Codex GPT-5.4.

ميّزت الدراسة بين حقن التعليمات البرمجية التقليدية وما وصفه الباحثون بـ"التصيّد الاحتيالي عبر البرامج الخبيثة". فبينما يُخفي حقن التعليمات البرمجية تعليمات خبيثة داخل البيانات، يعتمد التصيّد الاحتيالي عبر البرامج الخبيثة على طلبات تبدو حقيقية تُرسل عبر قنوات اتصال شرعية. وينجح الهجوم لأن البرنامج الخبيث يتصرف قبل التحقق من هوية المُرسِل بشكل كافٍ.

كيف تغلبت الهندسة الاجتماعية على الضوابط الأمنية

أسفرت عمليات محاكاة التصيد الاحتيالي عن نتائج مثيرة للقلق. فعلى الرغم من العمل وفقًا لتعليمات صارمة للتحقق من هوية المرسل، فشل البرنامج في سيناريوهين لتسريب البيانات:

تلقى مركز العمليات بريدًا إلكترونيًا احتياليًا ينتحل صفة قائد فريق، يطلب فيه الوصول إلى بيئة الاختبار أثناء حادثة إنتاجية مفتعلة. عثر العميل على بيانات اعتماد AWS IAM وهمية، وسلاسل اتصال قواعد البيانات، وبيانات اعتماد SSH، وقام بإعادة توجيهها كنص عادي.

طلب بريد إلكتروني ثانٍ تصدير بيانات العملاء الأسبوعية الروتينية لعرض تقديمي يُفترض أنه مراجعة ربع سنوية للأعمال. أرسل الموظف قاعدة بيانات اصطناعية تحتوي على معلومات عن 247 عميلًا من الشركات، بما في ذلك جهات الاتصال وقيم العقود.

أظهر النظام أداءً أفضل بكثير عند مواجهة الهجمات التقنية. فقد تمكن من التعرف على مواقع التصيد الاحتيالي المشبوهة، وتجنب كشف بيانات الاعتماد المشروعة، وفي النهاية رصد النشاط الضار. وفي ظل إعدادات أكثر صرامة، تم حظر الوصول إلى صفحات التصيد الاحتيالي تمامًا. وعندما ظهرت شاشة موافقة OAuth مزيفة مُقنّعة كتطبيق لتسجيل ساعات العمل، قام النظام بتحليل وجهة إعادة التوجيه، وخلص إلى أنها مشبوهة، ورفض منح الأذونات.

خلص الباحثون إلى أن البرنامج الآلي غالبًا ما يتفوق على البشر في تحديد عناوين المواقع الإلكترونية الخبيثة وبوابات تسجيل الدخول المزيفة. مع ذلك، فقد واجه صعوبة في التقييم الاجتماعي السياقي، لا سيما عندما بدت الطلبات وكأنها صادرة من زملاء موثوق بهم. إن السمة التي تجعل مساعدي الذكاء الاصطناعي مفيدين، ألا وهي الرغبة في المساعدة، تُشكل أيضًا ثغرة أمنية كبيرة.

على الرغم من أن OpenAI Codex GPT-5.4 أظهر حذرًا أكبر من Gemini 3.1 Pro عند التفاعل مع المواقع الخارجية أو نقل المعلومات، إلا أن كلا النظامين وقعا في النهاية ضحية لسيناريوهات الهندسة الاجتماعية.

سبب جذري واحد، مسارات هجوم متعددة

على الرغم من استخدام تقنيات مختلفة، إلا أن كلا الهجومين استغلا نفس القدرات الأساسية:

• الوصول إلى المعلومات الخاصة.

• القدرة على معالجة المحتوى غير الموثوق به.

• إذن بإرسال المعلومات خارجياً.

عندما تتعايش هذه القدرات دون ضوابط كافية، يمكن لبطاقة اتصال خبيثة ورسالة بريد إلكتروني مقنعة للتصيد الاحتيالي أن تؤدي إلى نفس النتيجة: الوصول غير المصرح به إلى البيانات الحساسة.

كشفت أبحاث إضافية عن مشاكل مماثلة تتعلق بحدود الثقة ضمن منظومة OpenClaw. ومن خلال تحويل التنبيهات الأمنية السابقة إلى قواعد تحليل ثابتة، حدد الباحثون خمس ثغرات أمنية أخرى تؤثر على عمليات التكامل مع Slack وDiscord وMatrix وZalo وMicrosoft Teams.

نشأت كل ثغرة أمنية من خلل تصميمي واحد. اعتمدت امتدادات القنوات على أسماء عرض قابلة للتغيير بدلاً من معرّفات ثابتة عند تقييم قوائم السماح. وبالتالي، كان بإمكان المهاجم إعادة تسمية حساب ليطابق اسم مستخدم معتمد، ما يتيح له السيطرة على النظام. وقد قامت OpenClaw منذ ذلك الحين بتصحيح جميع المشكلات التي تم تحديدها.

تزايد المخاوف بشأن صلاحيات الوكلاء الواسعة

منذ إطلاقها، استقطبت منصة OpenClaw اهتمامًا واسعًا بسبب صلاحياتها الواسعة. فهي تتيح الوصول إلى الملفات المحلية، وبيئات سطر الأوامر، وأكثر من عشرين منصة مراسلة، مما يجعلها ذات إمكانيات عالية ولكنها أيضًا شديدة الحساسية.

بلغت المخاوف حداً دفع هيئة حماية البيانات الهولندية، Autoriteit Persoonsgegevens، إلى نصح الأفراد والمنظمات بعدم استخدام برنامج OpenClaw على الأنظمة التي تحتوي على معلومات حساسة. وأشارت الهيئة إلى مخاطر تشمل اختراق البيانات واختراق الحسابات.

بناء عمليات نشر أكثر أمانًا لوكلاء الذكاء الاصطناعي

ينبغي على المؤسسات التي تستخدم OpenClaw الترقية فورًا إلى الإصدار 2026.4.23 أو أحدث لمعالجة ثغرة message-object. إلا أن الحماية طويلة الأمد، بالإضافة إلى التحديثات، تعتمد على الضوابط المعمارية أكثر من اعتمادها على الهندسة السريعة.

يوصي خبراء الأمن بالتعامل مع ملفات تعليمات الوكلاء كسياسات قابلة للتنفيذ والتحكم في الإصدارات، بدلاً من كونها مجرد إرشادات. يجب أن تتطلب الاتصالات الصادرة موافقة مسبقة قبل إرسال الرسائل إلى مستلمين غير معروفين، مما يقلل من احتمالية قيام الوكلاء المخترقين بنشر الهجمات عبر حسابات موثوقة. كما يجب ربط أذونات الوصول بموثوقية المصدر المُفعِّل، لضمان عدم تمكن الوكلاء الذين يعالجون الاتصالات الخارجية من الوصول تلقائيًا إلى أنظمة بالغة الأهمية، مثل منصات إدارة علاقات العملاء. يجب أن تظل الإجراءات عالية المخاطر، بما في ذلك مشاركة بيانات الاعتماد والمعاملات المالية، خاضعة للموافقة البشرية.

التحدي الذي لم يُحل بعد للثقة المستقلة

توصل كلا فريقي البحث في نهاية المطاف إلى النتيجة نفسها: لا ينبغي النظر إلى أنظمة الذكاء الاصطناعي كأدوات أمنية. بل يُعدّ نموذج الموظف المبتدئ الذي يتمتع بصلاحيات واسعة في النظام، لكن قدرته على تمييز السلوك المشبوه محدودة، نموذجًا أكثر دقة. ومن منظور آخر مفيد، يمكن اعتبارها جهات تنفيذية موثقة تثق بطبيعتها بالمعلومات التي تتلقاها.

تركز التدابير الحالية للتخفيف من المخاطر على التحديثات الأمنية، والضوابط الوقائية، وضوابط الوصول. ومع ذلك، لا يزال التحدي الأكبر قائماً دون حل. يجب على نظام الذكاء الاصطناعي القادر على قراءة رسائل البريد الإلكتروني، وتنفيذ المهام، والتصرف باستقلالية، أن يثق بالمدخلات وأن يسعى لمساعدة المستخدمين. ولم يتوصل مجتمع الأمن السيبراني بعد إلى حل شامل لهذا التوتر الجوهري.