هل "جمبري البحر الصغير" الخاص بك يركض عاري؟ اختبار CertiK: كيف يخدع OpenClaw Skill الذي يحتوي على ثغرات المراجعة، الاستيلاء على الكمبيوتر دون تفويض

في الآونة الأخيرة، أصبح منصة OpenClaw المفتوحة المصدر لإدارة الذكاء الاصطناعي الذكي (المعروفة بين الأوساط باسم “الروبيان الصغير”)، والتي تتميز بمرونتها وقابليتها للتوسع واستقلاليتها في النشر، شائعة بسرعة كبيرة، وأصبحت منتجًا ظاهرة في مسار الذكاء الاصطناعي الشخصي. مركزها البيئي، Clawhub، كالسوق للتطبيقات، يجمع عددًا هائلًا من ملحقات المهارات (Skills) من طرف ثالث، مما يتيح للذكاء الاصطناعي فتح قدرات عالية المستوى بنقرة واحدة، من البحث عبر الويب، والإبداع في المحتوى، إلى عمليات المحافظ المشفرة، والتفاعل على السلسلة، والأتمتة النظامية، مما أدى إلى انفجار في حجم المجتمع وعدد المستخدمين.

لكن، ما هو الحد الحقيقي للأمان لهذا النوع من المهارات (Skills) التي تعمل في بيئة ذات صلاحيات عالية؟

مؤخرًا، أصدرت شركة CertiK، أكبر شركة أمن ويب3 في العالم، دراسة حديثة حول أمان المهارات. وأشارت الدراسة إلى أن السوق يعاني من سوء فهم فيما يتعلق بالحدود الأمنية لنظام الذكاء الاصطناعي، حيث يعتقد الكثيرون أن “مسح المهارات” هو الحد الأمني الأساسي، لكن هذه الآلية تكاد تكون عديمة الفائدة أمام هجمات القراصنة.

إذا اعتبرنا OpenClaw كنظام تشغيل لجهاز ذكي، فإن المهارات (Skills) هي التطبيقات المثبتة على هذا النظام. وعلى عكس التطبيقات الاستهلاكية العادية، فإن بعض المهارات في OpenClaw تعمل في بيئة ذات صلاحيات عالية، ويمكنها الوصول مباشرة إلى الملفات المحلية، واستدعاء أدوات النظام، والاتصال بالخدمات الخارجية، وتنفيذ أوامر بيئة المضيف، وحتى التعامل مع الأصول الرقمية المشفرة للمستخدمين. وإذا حدثت مشكلة أمنية، فإنها قد تؤدي مباشرة إلى تسرب المعلومات الحساسة، أو سيطرة عن بعد على الجهاز، أو سرقة الأصول الرقمية، مما يسبب عواقب وخيمة.

الحل الأمني العام الحالي في الصناعة للمهارات (Skills) من طرف ثالث هو “المسح والمراجعة قبل الإدراج”. كما أن Clawhub الخاص بـ OpenClaw أنشأ نظام مراجعة ثلاثي الطبقات: يدمج مسح الشفرات باستخدام VirusTotal، ومحرك فحص الشفرات الثابتة، وكاشف التوافق المنطقي للذكاء الاصطناعي، ويرسل للمستخدمين تنبيهات أمنية بناءً على تصنيف المخاطر، في محاولة للحفاظ على أمان النظام البيئي. لكن أبحاث CertiK واختبارات الهجمات التجريبية أكدت أن هذا النظام يعاني من نقاط ضعف في مواجهة الهجمات الحقيقية، ولا يمكنه أن يكون الحصن المنيع للأمان.

بدأت الدراسة بتحليل القيود الأساسية لنظام الكشف الحالي:

• قواعد الفحص الثابت يمكن تجاوزها بسهولة. يعتمد هذا النظام على مطابقة سمات الشفرة للتعرف على المخاطر، مثل تصنيف “قراءة معلومات حساسة من البيئة + إرسال طلبات عبر الشبكة” كتصرف عالي الخطورة، لكن المهاجمين يمكنهم ببساطة تعديل بعض أجزاء الشفرة بشكل بسيط، مع الاحتفاظ بالوظيفة الخبيثة، لتجاوز مطابقة السمات، كما لو أنهم استبدلوا عبارات ذات معنى مرادف، مما يجعل أدوات الكشف غير فعالة تمامًا.

• وجود ثغرات في الكشف بواسطة الذكاء الاصطناعي. يركز نظام مراجعة Clawhub على “مُتحقق التوافق المنطقي”، الذي يمكنه فقط اكتشاف الأكواد الخبيثة الواضحة التي تتعارض مع التصريحات الوظيفية، لكنه غير قادر على اكتشاف الثغرات المخفية داخل المنطق الطبيعي للأعمال، مثلما يصعب اكتشاف فخ قاتل مخفي في عقد قانوني يبدو متوافقًا.

• عيوب في تصميم عملية المراجعة الأساسية. حتى لو كانت نتائج مسح VirusTotal لا تزال في حالة “قيد المعالجة”، يمكن للمهارات (Skills) التي لم تكتمل فحوصاتها أن تُدرج وتُنشر علنًا، ويمكن للمستخدمين تثبيتها دون تحذيرات، مما يترك فرصة للمهاجمين.

وللتحقق من مدى خطورة هذه المخاطر، أجرى فريق CertiK اختبارًا كاملًا. قام الفريق بتطوير مهارة تسمى “test-web-searcher”، وهي أداة بحث ويب تبدو متوافقة تمامًا، وتلتزم بمعايير التطوير العادية، لكنها في الواقع تحتوي على ثغرة تنفيذ تعليمات عن بعد (RCE) مدمجة في سير العمل الطبيعي.

تمكنت هذه المهارة من تجاوز فحوصات النظام الثابت والذكاء الاصطناعي، وبتحليل نتائج VirusTotal التي كانت لا تزال قيد المعالجة، تم تثبيتها بشكل طبيعي دون أي تحذيرات أمنية. وفي النهاية، أرسل المهاجم أمرًا عبر Telegram، مما أدى إلى تفعيل الثغرة، وتنفيذ أوامر عشوائية على الجهاز المضيف (وفي العرض التوضيحي، تم فتح الآلة الحاسبة مباشرة).

وأوضحت دراسة CertiK أن هذه المشكلات ليست خاصة بمنتج OpenClaw فقط، بل هي سوء فهم عام في صناعة الذكاء الاصطناعي الذكي بأكملها: حيث يعتقد الكثيرون أن “المسح والمراجعة” هو الخط الدفاعي الرئيسي، متجاهلين أن الأساس الحقيقي للأمان يكمن في العزل الإجباري والتحكم الدقيق في الصلاحيات أثناء التشغيل. فكما هو الحال في نظام iOS من Apple، فإن جوهر الأمان لا يكمن في مراجعة متجر التطبيقات (App Store) الصارمة، بل في نظام الحاويات (Sandbox) الإجباري، والتحكم الدقيق في الصلاحيات، الذي يضمن أن كل تطبيق يعمل داخل “حاوية معزولة” ولا يمكنه الوصول بحرية إلى صلاحيات النظام. أما آلية الحماية الحالية في OpenClaw فهي اختيارية وليست إلزامية، وتعتمد بشكل كبير على إعدادات المستخدم اليدوية، ومعظم المستخدمين يختارون إيقاف تشغيل الحاوية لضمان عمل المهارات، مما يترك النظام في حالة “عارية”، وإذا تم تثبيت مهارة تحتوي على ثغرات أو برمجيات خبيثة، فإن ذلك قد يؤدي إلى كوارث.

وفيما يخص هذه المشكلة، قدم فريق CertiK إرشادات أمنية:

● للمطورين في OpenClaw وغيرها من أنظمة الذكاء الاصطناعي، يجب جعل العزل بالحاوية هو الإعداد الافتراضي الإجباري للمهارات (Skills) من طرف ثالث، وتطوير نموذج دقيق للتحكم في صلاحيات المهارات، مع عدم السماح للرمز من طرف ثالث بالوراثة التلقائية لصلاحيات عالية على الجهاز المضيف.

● للمستخدمين العاديين، فإن وجود علامة “آمن” على مهارة في السوق لا يعني أنها خالية من المخاطر، وإنما فقط أنها لم تُكتشف فيها مخاطر بعد. قبل أن تعتمد الشركات على تفعيل آلية العزل القوية بشكل افتراضي، يُنصح بتثبيت OpenClaw على أجهزة غير مهمة أو على بيئات افتراضية، وعدم السماح لها بالاقتراب من الملفات الحساسة، أو كلمات المرور، أو الأصول الرقمية ذات القيمة العالية.

حاليًا، يقف مسار الذكاء الاصطناعي في مرحلة قبل الانفجار، ويجب أن تتسارع وتيرة توسع النظام البيئي بشكل لا يتجاوز وتيرة بناء الأمان. فالمسح والمراجعة يمكن أن يمنع الهجمات الخبيثة البسيطة، لكنه لن يكون أبدًا الحد الأمني للذكاء الاصطناعي ذو الصلاحيات العالية. فقط من خلال الانتقال من “السعي للكشف المثالي” إلى “الحد من الأضرار الناتجة عن المخاطر الافتراضية”، ومن خلال فرض العزل بشكل إجباري من الأساس أثناء التشغيل، يمكننا أن نضمن فعليًا حماية الحد الأدنى للأمان في أنظمة الذكاء الاصطناعي، وأن نُحكم استقرار وموثوقية هذا التحول التكنولوجي.