الأجهزة والإلكترونيات

‘كلمة مرور اختارها الإنسان ليس لديها أي فرصة’: يحتوي OpenClaw على ثغرة أمنية كبيرة أخرى – إليك ما نعرفه عن “ClawJacked”

- by فؤاد الكرمي
‘كلمة مرور اختارها الإنسان ليس لديها أي فرصة’: يحتوي OpenClaw على ثغرة أمنية كبيرة أخرى – إليك ما نعرفه عن “ClawJacked”
(حقوق الصورة: Fortune)
  • باحثو الأمن في Oasis يكتشفون ثغرة عالية الخطورة في عميل OpenClaw AI
  • سمح الاستغلال لمواقع الويب الخبيثة بالتجاوز القسري لتوثيق البوابة المحلية والسيطرة الكاملة
  • تم تصحيح الثغرة خلال 24 ساعة؛ يُنصح المستخدمون بالترقية إلى الإصدار 2026.2.25 أو أحدث

OpenClaw، منصة عميل AI مفتوحة المصدر الشهيرة، كانت عرضة لثغرة عالية الخطورة سمحت للمهاجمين بسرقة البيانات الحساسة من أجهزة الكمبيوتر المستهدفة بسهولة نسبية، حذر الخبراء.

اكتشف الباحثون الأمنيون في Oasis الخطأ، وتم تصحيحه بعد الكشف المسؤول.

بالنسبة لأولئك غير المألوفين بـ OpenClaw، هو عميل AI يقوم المستخدمون بتثبيته على أجهزة الكمبيوتر الخاصة بهم ويتفاعلون معه من خلال لوحة معلومات ويب أو محطة. يتصل الأداة بالتقويمات، و تطبيقات المراسلة، ويمكنها الرد على رسائل البريد الإلكتروني، إعداد أحداث التقويم، وأكثر من ذلك. إنه حاليًا واحد من أكثر مشاريع الذكاء الاصطناعي شعبية، مع أكثر من 100,000 نجمة على GitHub.

التجاوز القسري لكلمة المرور

لكن تصميم الأداة ترك ثغرة أمنية كبيرة، والتي، وفقاً لـ Oasis، من السهل استغلالها نسبياً. لا يتطلب مكونًا إضافيًا من طرف ثالث، أو اختراقًا سابقًا، أو أي شيء من هذا القبيل. كل ما يحتاجه الضحية هو زيارة موقع ويب خبيث.

“ما وجدناه مختلف. تعيش ثغرتنا في النظام الأساسي نفسه — لا ملحقات، لا سوق، لا امتدادات مثبتة بواسطة المستخدم — فقط بوابة OpenClaw الأساسية، تعمل تمامًا كما هو موثق”، كما أوضح الباحثون شرحوا.

مشيرين إلى كيفية عمل الخطأ، تقول Oasis إن OpenClaw يشغل خادم WebSocket محلي يدير التوثيق، وأكثر. تتصل العقد، مثل تطبيقات الدعم وأجهزة أخرى، بالبوابة، وتعرض إمكانياتها، وتنفيذ أوامر النظام، والوصول إلى الكاميرا (من بين أشياء أخرى). يمكن للبوابة إرسال أوامر إلى أي عقدة متصلة.

تتم إدارة التوثيق إما عبر رمز أو كلمة مرور، والبوابة ترتبط بـ localhost بشكل افتراضي.

إذا زار الضحية موقع ويب خبيث، يمكن أن يفتح JavaScript الخاص به اتصال WebSocket إلى localhost، ويتجاوز كلمة مرور البوابة بسهولة، ويكون موثقًا كجهاز موثوق بالكامل.

بمجرد حدوث ذلك، “لديهم السيطرة الكاملة”، خلصت Oasis. “يمكنهم التفاعل مع عميل الذكاء الاصطناعي، وتفريغ بيانات التكوين، وعد الأجهزة المتصلة، وقراءة السجلات.”

تم نشر تصحيح بعد 24 ساعة من الكشف الأولي، ويُنصح المستخدمون بترقية مثيلاتهم إلى الإصدار 2026.2.25 أو أحدث.

أفضل برنامج مضاد فيروسات
أفضل مضاد فيروسات لجميع الميزانيات

تابع TechRadar على أخبار Google و أضفنا كمصدر مفضل للحصول على أخبار، مراجعات، وآراء خبرائنا في خلاصاتك. تأكد من الضغط على زر المتابعة!

وبالطبع يمكنك أيضًا متابعة TechRadar على TikTok للحصول على الأخبار، والمراجعات، والفيديوهات، والحصول على تحديثات منتظمة منا عبر واتساب أيضًا.

سياد هو صحفي مستقل متمرس مقيم في سراييفو، البوسنة والهرسك. يكتب عن تكنولوجيا المعلومات (السحاب، إنترنت الأشياء، 5G، VPN) والأمن السيبراني (الفدية، انتهاكات البيانات، القوانين واللوائح). في مسيرته التي تمتد لأكثر من عقد، كتب لعدة وسائل إعلام، بما في ذلك قناة الجزيرة بلقان. كما درس عدة وحدات حول كتابة المحتوى لشركة Represent Communications.

Tagged

Related Posts

تغيرات OpenAI تتعلق بالجيش الأمريكي بعد ردود فعل سلبية

تغيرات OpenAI تتعلق بالجيش الأمريكي بعد ردود فعل سلبية

جنوب أفريقيا تحقق في موردي منتجات النظافة بعد دراسة تشير إلى مخاطر صحية

جنوب أفريقيا تحقق في موردي منتجات النظافة بعد دراسة تشير إلى مخاطر صحية

هل تريد حظر الأطفال من وسائل التواصل الاجتماعي؟ الحكومة تسأل

About فؤاد الكرمي

فؤاد الكرمي محرر أخبار عالمية يتابع المستجدات الدولية ويقدم تغطية إخبارية شاملة للأحداث العالمية البارزة.

View all posts by فؤاد الكرمي →