ثغرة OpenClaw الخطيرة: تحكم كامل بجهازك عبر رابط واحد

تم الكشف مؤخراً عن ثغرة أمنية عالية الخطورة في مساعد الذكاء الاصطناعي OpenClaw تسمح للمهاجمين بتنفيذ تعليمات برمجية عن بعد (RCE) والسيطرة على الجهاز عبر رابط ملغوم، مما يستدعي الانتباه الفوري.

ما هي تفاصيل ثغرة OpenClaw الجديدة؟

تم تتبع هذه المشكلة الأمنية تحت الرمز CVE-2026-25253، وقد حصلت على تقييم خطورة مرتفع بلغ 8.8 درجة. تكمن المشكلة الأساسية في إمكانية سرقة رموز المصادقة (Tokens) مما يؤدي إلى اختراق كامل لبوابة الاتصال الخاصة بالمساعد الذكي.

وقد أشار مطور OpenClaw، بيتر شتاينبرغر، إلى أن واجهة التحكم تثق في عناوين البوابة (gatewayUrl) القادمة عبر روابط الاستعلام دون التحقق الكافي منها، مما يسمح للمهاجمين باستغلال هذه الثقة.

كيف يتم استغلال هذه الثغرة للاختراق؟

تعتمد آلية الهجوم على خداع المستخدم للنقر على رابط واحد فقط، مما يؤدي إلى سلسلة من العمليات الخطيرة التي تتم في أجزاء من الثانية. وحسب تحليل فريق تيكبامين التقني، فإن الخطوات تتم كالتالي:

• يقوم المستخدم بالنقر على رابط لموقع ويب خبيث تم إعداده من قبل المهاجم.
• يستغل الموقع ثغرة في التعامل مع اتصالات WebSocket (اختطاف عبر المواقع).
• يقوم الخادم بقبول الطلب من الموقع الخارجي لأنه لا يتحقق من مصدر الاتصال (Origin header).
• يتمكن المهاجم من سرقة رمز المصادقة والاتصال بمثيل OpenClaw المحلي لدى الضحية.

لماذا يعتبر هذا الهجوم خطيراً جداً؟

تكمن الخطورة الحقيقية في أن هذا الهجوم يتجاوز قيود الشبكة المحلية (localhost). بمجرد حصول المهاجم على الرموز ذات الصلاحيات العالية، يمكنه تعطيل تأكيدات المستخدم وتجاوز الحاويات المعزولة (Sandbox) لتشغيل أدوات النظام.

وقد أوضح الباحث الأمني ماف ليفين أن الثغرة تسمح بتنفيذ هجوم "نقرة واحدة" (One-click RCE)، حيث يمكن للمهاجم:

• تعديل إعدادات الأمان والسياسات الخاصة بالأدوات.
• تنفيذ أوامر برمجية بصلاحيات عالية.
• الهروب من بيئة العزل والوصول إلى نظام التشغيل الأساسي.

ما هي خطوات الحماية الموصى بها؟

نظراً لانتشار OpenClaw الكبير مؤخراً كمنصة مفتوحة المصدر للذكاء الاصطناعي تعمل محلياً، فإن تأمينها يعد أولوية قصوى. يشدد تيكبامين على ضرورة اتباع الإجراءات التالية:

• التحديث الفوري إلى الإصدار 2026.1.29 أو أحدث، حيث تم إصلاح الثغرة.
• تجنب النقر على روابط مشبوهة أو غير موثوقة أثناء تشغيل المساعد.
• مراجعة سجلات الاتصال للتأكد من عدم وجود نشاط غير مصرح به.