اختبار CertiK: كيف تخترق مهارة OpenClaw المعيبة عملية المراجعة والاستحواذ على الكمبيوتر بدون تصريح

في الآونة الأخيرة، أصبح منصة الذكاء الاصطناعي المفتوحة والمستضافة OpenClaw (المعروفة بين الأوساط باسم “الروبيان الصغير”) شائعة بسرعة بفضل مرونتها في التوسع وخصائصها في النشر المستقل والسيطرة، وأصبحت منتجًا ظاهرة في مسار الذكاء الاصطناعي الشخصي. مركزها الحيوي، Clawhub، كالسوق للتطبيقات، يجمع عددًا هائلًا من ملحقات المهارات (Skills) من طرف ثالث، مما يتيح للذكاء الاصطناعي فتح قدرات عالية المستوى بنقرة واحدة، من البحث عبر الويب، والإبداع في المحتوى، إلى عمليات المحافظ المشفرة، والتفاعل على السلسلة، والأتمتة النظامية، مما أدى إلى انفجار في حجم المجتمع وعدد المستخدمين.

لكن، ما هو الحد الحقيقي للأمان لهذا النوع من المهارات (Skills) التي تعمل في بيئة ذات صلاحيات عالية؟

مؤخرًا، أصدرت شركة CertiK، أكبر شركة أمن ويب3 في العالم، دراسة حديثة حول أمان المهارات. وأشارت الدراسة إلى وجود سوء فهم في وعي السوق حول حدود الأمان في بيئة الذكاء الاصطناعي: حيث يعتقد الكثيرون أن “مسح المهارات” هو الحد الأقصى للأمان، لكن هذه الآلية تكاد تكون عديمة الجدوى أمام هجمات القراصنة.

إذا اعتبرنا OpenClaw كنظام تشغيل لجهاز ذكي، فإن المهارات (Skills) هي التطبيقات المثبتة على النظام. وعلى عكس التطبيقات الاستهلاكية العادية، فإن بعض المهارات في OpenClaw تعمل في بيئة ذات صلاحيات عالية، ويمكنها الوصول مباشرة إلى الملفات المحلية، واستدعاء أدوات النظام، والاتصال بالخدمات الخارجية، وتنفيذ أوامر بيئة المضيف، وحتى التعامل مع الأصول الرقمية المشفرة للمستخدمين. وإذا حدثت مشكلة أمنية، فإنها قد تؤدي مباشرة إلى تسرب المعلومات الحساسة، أو استيلاء عن بعد على الجهاز، أو سرقة الأصول الرقمية، مما يسبب عواقب وخيمة.

الحل الأمني العام الحالي في الصناعة للمهارات من طرف ثالث هو “المسح والمراجعة قبل الإدراج”. كما أن Clawhub الخاص بـ OpenClaw أنشأ نظام مراجعة ثلاثي الطبقات: يدمج مسح الشفرات باستخدام VirusTotal، ومحرك فحص الشفرات الثابتة، وكاشف التوافق المنطقي للذكاء الاصطناعي، ويرسل للمستخدمين تنبيهات أمنية بناءً على تصنيف المخاطر، في محاولة للحفاظ على أمان البيئة. لكن أبحاث CertiK واختبارات التحقق من المفاهيم أظهرت أن هذا النظام يعاني من نقاط ضعف في مواجهة الهجمات الحقيقية، ولا يمكنه أن يكون الحد الأمني الحقيقي.

وقد كشفت الدراسة عن القيود الأساسية لنظام الفحص الحالي:

• قواعد الفحص الثابتة سهلة الت绕. يعتمد هذا النظام على مطابقة سمات الشفرة لتحديد المخاطر، مثل تصنيف “قراءة معلومات حساسة من البيئة + إرسال طلبات عبر الشبكة” كتصرف عالي الخطورة، لكن المهاجمين يمكنهم ببساطة إجراء تغييرات طفيفة على الصياغة في الشفرة، مع الاحتفاظ بالوظيفة الخبيثة، لتجاوز مطابقة السمات، كما لو أنهم استبدلوا عبارات خطرة بمرادفات، مما يجعل أدوات الكشف غير فعالة.

• وجود ثغرات فطرية في الكشف بواسطة الذكاء الاصطناعي. يركز نظام مراجعة Clawhub على “مُتحقق التوافق المنطقي”، الذي يمكنه فقط اكتشاف الشفرات الخبيثة الواضحة التي تتعارض مع التصريحات الوظيفية، لكنه يعجز عن اكتشاف الثغرات المخفية داخل المنطق الطبيعي للأعمال، مثلما يصعب اكتشاف فخ قاتل مخفي في عقد قانوني يبدو متوافقًا.

• عيوب في تصميم عملية المراجعة الأساسية: حتى لو كانت نتائج مسح VirusTotal لا تزال في حالة “قيد المعالجة”، يمكن للمهارات التي لم تكتمل فحوصاتها أن تُدرج وتُنشر علنًا، ويمكن للمستخدمين تثبيتها دون تحذير، مما يترك فرصة للمهاجمين.

وللتحقق من مدى خطورة هذه المخاطر، أجرى فريق CertiK اختبارًا كاملًا. قام الفريق بتطوير مهارة تسمى “test-web-searcher”، وهي أداة بحث ويب تبدو متوافقة تمامًا، وتلتزم بمعايير التطوير العادية، لكنها في الواقع تحتوي على ثغرة تنفيذ تعليمات عن بعد (RCE) مدمجة في سير العمل الطبيعي.

هذه المهارة تجاوزت فحوصات النظام الثابت والذكاء الاصطناعي، وعندما كانت نتائج VirusTotal لا تزال قيد المعالجة، تمكنت من التثبيت بشكل طبيعي دون أي تحذيرات أمنية؛ وفي النهاية، أرسل المهاجم أمرًا عن بعد عبر Telegram، مما أدى إلى تفعيل الثغرة، وتنفيذ أوامر عشوائية على الجهاز المضيف (وفي العرض التوضيحي، تم فتح الآلة الحاسبة مباشرة).

وأوضحت دراسة CertiK أن هذه المشكلات ليست خاصة بـ OpenClaw فحسب، بل هي سوء فهم عام في صناعة الذكاء الاصطناعي بشكل كامل: حيث يعتقد الكثيرون أن “المسح الأمني” هو الحد الأمني الأساسي، متجاهلين أن الأساس الحقيقي للأمان يكمن في العزل الإجباري والتحكم الدقيق في الصلاحيات أثناء التشغيل. فكما هو الحال في نظام iOS من Apple، فإن الأمان لا يعتمد على مراجعة متجر التطبيقات فقط، بل على آلية الحاويات (Sandbox) الصارمة، والتحكم الدقيق في الصلاحيات، التي تضمن أن كل تطبيق يعمل داخل “حاوية معزولة” خاصة، ولا يمكنه الوصول بحرية إلى صلاحيات النظام. أما في OpenClaw، فإن آلية الحاويات الحالية اختيارية وليست إلزامية، وتعتمد بشكل كبير على إعدادات المستخدم اليدوية، ومعظم المستخدمين يختارون إيقاف تفعيل الحاوية لضمان عمل المهارات، مما يترك النظام في حالة “عارية”، وإذا ثبتت مهارات تحتوي على ثغرات أو برمجيات خبيثة، فإن ذلك قد يؤدي إلى كوارث.

وبناءً على هذه الاكتشافات، قدم CertiK إرشادات أمنية:

● للمطورين في OpenClaw وغيرها من أنظمة الذكاء الاصطناعي، يجب جعل العزل داخل الحاوية هو الإعداد الافتراضي الإجباري للمهارات من طرف ثالث، وتطوير نموذج دقيق للتحكم في صلاحيات المهارات، مع عدم السماح للرمز من طرف ثالث بالوراثة التلقائية لصلاحيات عالية على المضيف.

● للمستخدمين العاديين، فإن العلامة “آمن” على المهارات في السوق لا تعني أنها خالية من المخاطر بشكل مطلق، وإنما فقط أنها لم تُكتشف فيها مخاطر بعد. قبل أن تعتمد الشركات على آلية العزل القوية كإعداد افتراضي، يُنصح بتثبيت OpenClaw على أجهزة غير مهمة أو على بيئات افتراضية، وعدم السماح له بالوصول إلى الملفات الحساسة، أو كلمات المرور، أو الأصول المشفرة ذات القيمة العالية.

وفي ظل اقتراب صناعة الذكاء الاصطناعي من ذروة انفجارها، لا يمكن أن تتفوق سرعة التوسع على وتيرة بناء الأمان. فالمراجعة والفحص يمكن أن تمنع الهجمات البسيطة، لكنها لن تكون أبدًا الحد الأمني الحقيقي للذكاء الاصطناعي بصلاحيات عالية. فقط من خلال الانتقال من “السعي للكشف المثالي” إلى “الحد من الأضرار الناتجة عن المخاطر المحتملة بشكل افتراضي”، ومن خلال فرض العزل بشكل إجباري من الأساس أثناء التشغيل، يمكن ضمان الحد الأدنى للأمان في الذكاء الاصطناعي، وضمان استقرار ونجاح هذا التحول التكنولوجي.