OpenClaw تطرح إصلاحات لثغرة خطيرة تمنح صلاحيات المسؤول

أصدر مطورو أداة الذكاء الاصطناعي الشهيرة OpenClaw إصلاحات لثلاث ثغرات أمنية عالية الخطورة، بما في ذلك ثغرة سمحت للمهاجمين الذين يمتلكون صلاحيات اقتران أساسية بالحصول سراً على تحكم إداري كامل. وقد أثارت هذه الثغرة، التي تحمل الرمز CVE-2026-33579 وتصل خطورتها إلى 9.8 من 10، مخاوف كبيرة بين خبراء الأمن، حيث يُحتمل أن آلاف النسخ المعرضة للخطر قد تم اختراقها دون علم أصحابها.

أداة OpenClaw، وهي أداة ذكاء اصطناعي وكيلية أُطلقت في نوفمبر وحصدت 347,000 نجمة على GitHub، تتيح للمستخدمين أتمتة مهام مثل تنظيم الملفات، والبحث، والتسوق عبر الإنترنت من خلال منحها وصولاً واسعاً إلى أجهزة الكمبيوتر، وتطبيقات مثل Telegram وDiscord وSlack، وملفات الشبكة، وحسابات المستخدمين. وفي وقت سابق من هذا الأسبوع، أصدر مطوروها إصلاحات أمنية تعالج ثلاث مشكلات حرجة وسط تحذيرات مستمرة من ممارسي الأمن بشأن مخاطر أنظمة الذكاء الاصطناعي المستقلة التي تتحكم في الموارد الحساسة. وقد حظر مسؤول في شركة Meta في وقت سابق من هذا العام الأداة من أجهزة الكمبيوتر المحمولة الخاصة بالعمل، مشيراً إلى أن عدم القدرة على التنبؤ بسلوكها يمثل خطراً أمنياً، مع صدور توجيهات مماثلة من مديرين آخرين. وكتب باحثون من شركة Blink المتخصصة في بناء تطبيقات الذكاء الاصطناعي: "التأثير العملي خطير. فالمهاجم الذي يمتلك بالفعل نطاق operator.pairing - وهو أدنى مستوى من الأذونات في نشر OpenClaw - يمكنه الموافقة بصمت على طلبات اقتران الجهاز التي تطلب نطاق operator.admin. وبمجرد إتمام تلك الموافقة، يحصل الجهاز المهاجم على صلاحيات إدارية كاملة على نسخة OpenClaw. لا حاجة لاستغلال ثغرة إضافية، ولا يتطلب الأمر أي تفاعل من المستخدم بخلاف خطوة الاقتران الأولية". نشأت ثغرة CVE-2026-33579 عن خلل في وظيفة اقتران الجهاز، والتي فشلت في التحقق من أذونات الطرف الموافق، مما سمح للطلبات المصاغة بشكل جيد بتصعيد الصلاحيات دون رقابة. وأشارت Blink إلى أن 63 في المائة من 135,000 نسخة من OpenClaw المتاحة عبر الإنترنت، والتي تم فحصها في وقت سابق من هذا العام، كانت تعمل بدون مصادقة، مما سمح لأي زائر على الشبكة بالحصول على وصول اقتران أولي بحرية. وصلت الإصلاحات يوم الأحد، لكن قائمة CVE الرسمية صدرت يوم الثلاثاء، مما قد يكون منح المهاجمين نافذة استغلال مدتها يومان. وبالنسبة للمؤسسات التي تستخدم OpenClaw على مستوى الشركة، يمكن لجهاز مسؤول مخترق الوصول إلى جميع البيانات المتصلة، وسرقة بيانات الاعتماد، وتشغيل أوامر عشوائية، والانتقال إلى خدمات أخرى، مما يرقى إلى الاستيلاء الكامل على النظام. ويحث الخبراء المستخدمين على مراجعة سجلات الاقتران الأخيرة وإعادة تقييم مخاطر الأداة مقابل فوائدها.

مقالات ذات صلة

Illustration of a hacker exploiting Meta's AI chatbot to hijack Instagram accounts by changing email addresses and bypassing security.
صورة مولدة بواسطة الذكاء الاصطناعي

Meta patches ai chatbot flaw used to hijack instagram accounts

من إعداد الذكاء الاصطناعي صورة مولدة بواسطة الذكاء الاصطناعي

Hackers exploited Meta's AI support chatbot to take over Instagram accounts by tricking it into changing associated email addresses. The vulnerability allowed password resets without two-factor authentication after matching locations via VPN. Meta resolved the issue with an emergency patch on May 29.

A writer recently attached a physical robot arm to an OpenClaw AI agent for hands-on testing.

من إعداد الذكاء الاصطناعي

Windscribe has added native support for OpenClaw agentic AI in its VPN software, allowing autonomous AI agents to control VPN settings. The integration aims to separate AI-generated traffic from users' personal web activity, protecting home networks from potential issues. Company representatives described it as addressing a key privacy gap for AI users.

A critical Linux vulnerability known as CopyFail, tracked as CVE-2026-31431, allows attackers to gain root access on systems running kernels since 2017. Publicly released exploit code has heightened risks for data centers and personal devices. Ubuntu's infrastructure has been offline for over a day due to a DDoS attack, hampering security communications.

من إعداد الذكاء الاصطناعي

Linux stable kernel maintainer Greg Kroah-Hartman has started using an AI-assisted fuzzing tool in a branch named 'clanker' to test the kernel codebase. The tool has already prompted fixes for vulnerabilities in subsystems like ksmbd and SMB. Patches from this effort now cover areas including USB, HID, WiFi, and networking.

يستخدم هذا الموقع ملفات تعريف الارتباط

نستخدم ملفات تعريف الارتباط للتحليلات لتحسين موقعنا. اقرأ سياسة الخصوصية الخاصة بنا سياسة الخصوصية لمزيد من المعلومات.
رفض