يوفر AI Perks وصولاً إلى خصومات وأرصدة وعروض حصرية على أدوات الذكاء الاصطناعي والخدمات السحابية وواجهات برمجة التطبيقات لمساعدة الشركات الناشئة والمطورين على توفير المال.
أزمة أمن OpenClaw - أكبر فضيحة لوكلاء الذكاء الاصطناعي لعام 2026
OpenClaw - وكيل الذكاء الاصطناعي مفتوح المصدر مع أكثر من 180,000 نجمة على GitHub - تعرض لأكبر أزمة أمنية في تاريخ أدوات الذكاء الاصطناعي. في فبراير 2026، اكتشف باحثون 7 ثغرات أمنية حرجة، وأكثر من 135,000 نسخة مكشوفة، وأكثر من 800 مهارة خبيثة تقوم بتوزيع برامج ضارة عبر سوق ClawHub الرسمي.
بدأت Google في حظر مشتركي الذكاء الاصطناعي الذين يدفعون والذين يستخدمون OpenClaw. حظرته Meta على جميع أجهزة العمل. نشرت CrowdStrike و Cisco و Nature تحذيرات عاجلة.
إذا كنت تشغل OpenClaw، فإن أول شيء يجب عليك فعله هو تأمين بيانات اعتماد واجهة برمجة التطبيقات المشروعة من خلال AI Perks - مفاتيح مسربة ومسروقة من مثيلات تم اختراقها يتم تداولها بالفعل عبر الإنترنت.
وفّر ميزانية مؤسستك الناشئة على أدوات الذكاء الاصطناعي
| Software | اعتمادات تقريبية | مؤشر الموافقة | الإجراءات | |
|---|---|---|---|---|
الجدول الزمني للأزمة - كيف تكشفت الأمور
لم تحدث الأزمة بين عشية وضحاها. لقد تصاعدت على مدار ثلاثة أسابيع حيث كشف باحثو الأمن طبقة تلو الأخرى من الثغرات الأمنية.
| التاريخ | الحدث |
|---|---|
| 29 يناير | تم تصحيح CVE-2026-25253 بصمت في OpenClaw v2026.1.29 |
| 3 فبراير | تم الكشف علنًا عن CVE-2026-25253 - CVSS 8.8 (تنفيذ تعليمات برمجية عن بعد بنقرة واحدة) |
| 4 فبراير | تم الكشف عن ثغرة حقن أوامر إضافية |
| 5 فبراير | اكتشف الباحثون 341 مهارة خبيثة على ClawHub (حوالي 12٪ من السجل) |
| 6 فبراير | اختراق Moltbook يكشف عن 1.5 مليون رمز واجهة برمجة تطبيقات |
| 7-8 فبراير | بدأت Google في تقييد مشتركي الذكاء الاصطناعي الذين يستخدمون OpenClaw |
| 9 فبراير | أفادت SecurityScorecard بوجود أكثر من 40,000 نسخة مكشوفة من OpenClaw |
| 15 فبراير | زادت النسخ المكشوفة إلى أكثر من 135,000؛ ارتفعت المهارات الخبيثة إلى أكثر من 800 |
| 17 فبراير | هجوم سلسلة التوريد لـ Cline CLI 2.3.0 يثبت OpenClaw سرًا |
| 20 فبراير | حظر Meta لـ OpenClaw على أجهزة العمل؛ تنشر The Register تقرير Cline الكامل |
ثلاثة أسابيع. هذه هي السرعة التي انتقل بها OpenClaw من كونه المشروع مفتوح المصدر الأكثر إثارة في التاريخ إلى أكبر قصة تحذيرية أمنية في مجال الذكاء الاصطناعي.
يوفر AI Perks وصولاً إلى خصومات وأرصدة وعروض حصرية على أدوات الذكاء الاصطناعي والخدمات السحابية وواجهات برمجة التطبيقات لمساعدة الشركات الناشئة والمطورين على توفير المال.
7 ثغرات هزت OpenClaw
تم الكشف عن سبعة ثغرات CVE في غضون أسابيع قليلة من بعضها البعض. ثلاثة منها لديها تعليمات برمجية للاستغلال متاحة للجمهور، مما يعني أنه يمكن لأي شخص استخدامها ضد المثيلات غير المصححة.
CVE-2026-25253 - تنفيذ تعليمات برمجية عن بعد بنقرة واحدة (CVSS 8.8)
كان هذا هو الثغرة الكبيرة. رابط خبيث تم إرساله عبر أي منصة مراسلة - WhatsApp، Telegram، Discord - يمكن أن يخترق مثيل OpenClaw بالكامل في أجزاء من الثانية.
استغلت الثغرة معلمة الاستعلام gatewayURL لاستخلاص رموز المصادقة. بمجرد حصول المهاجم على الرمز، يمكنه تنفيذ أوامر عشوائية على جهاز الضحية. وصول كامل للنظام بنقرة واحدة.
تم إصدار الإصلاح في v2026.1.29 في 29 يناير، لكن CVE لم يتم الكشف عنها علنًا حتى 3 فبراير. يقدر الباحثون أن آلاف المثيلات ظلت غير مصححة لأسابيع.
الثغرات الست الأخرى
| الثغرة | النوع | الخطورة | التأثير |
|---|---|---|---|
| تزوير الطلبات من جانب الخادم (SSRF) | الشبكة | عالي | يصل المهاجمون إلى الخدمات الداخلية عبر OpenClaw |
| نقص المصادقة | التحكم في الوصول | حرج | لا توجد بيانات اعتماد مطلوبة للتحكم في المثيلات المكشوفة |
| اجتياز المسار | نظام الملفات | عالي | قراءة أو كتابة ملفات عشوائية على الجهاز المضيف |
| حقن الأوامر | التنفيذ | عالي | تنفيذ أوامر النظام من خلال المدخلات المصممة |
| استخلاص الرموز (البوابة) | المصادقة | حرج | سرقة رموز الجلسة عبر عناوين URL خبيثة |
| التكوين الافتراضي غير الآمن | التكوين | متوسط | الربط بـ 0.0.0.0:18789 - يستمع على جميع واجهات الشبكة |
تستحق مشكلة التكوين الافتراضي اهتمامًا خاصًا. خارج الصندوق، يستمع OpenClaw على جميع واجهات الشبكة على المنفذ 18789 بدون الحاجة إلى مصادقة. هذا يعني أن أي مثيل تم تثبيته حديثًا متاح فورًا لأي شخص على نفس الشبكة - أو الإنترنت بأكمله إذا كان المنفذ مكشوفًا.
135,000+ نسخة مكشوفة - حجم المشكلة
أجرى فريق STRIKE في SecurityScorecard مسحًا على مستوى الإنترنت ووجد أن الأرقام كانت مذهلة.
النتائج الرئيسية:
- أكثر من 135,000 نسخة من OpenClaw مكشوفة للإنترنت العام
- 93.4٪ من النسخ المكشوفة أظهرت ظروف تجاوز المصادقة
- 5,194 نسخة تم التحقق منها بنشاط على أنها ضعيفة أمام ثغرات CVE المعروفة
- أكثر من 53,000 نسخة مرتبطة بعناوين IP مرتبطة بجهات فاعلة تهديد معروفة
الأرقام نمت بسرعة. وجدت دراسة مستقلة سابقة في 9 فبراير 42,665 نسخة مكشوفة. بعد ستة أيام، كان العدد قد تضاعف أكثر من ثلاث مرات.
ماذا يعني "مكشوف"؟ يعني أن مثيل OpenClaw يمكن الوصول إليه من الإنترنت بدون مصادقة. يمكن لأي شخص يجده إرسال أوامر، وقراءة البيانات، والوصول إلى حسابات المراسلة المتصلة، وتنفيذ التعليمات البرمجية على الجهاز المضيف.
بالنسبة للمستخدمين الذين يشغلون OpenClaw ببيانات اعتماد واجهة برمجة التطبيقات المشروعة من AI Perks - تحقق فورًا مما إذا كان مثيلك متاحًا للجمهور. إذا كان كذلك، فقم بإيقافه، وقم بتدوير مفاتيح واجهة برمجة التطبيقات الخاصة بك، وقم بتمكين المصادقة قبل إعادة الاتصال.
أكثر من 800 مهارة خبيثة - هجوم ClawHub لسلسلة التوريد
ClawHub هو سوق المهارات الرسمي لـ OpenClaw - وهو ما يعادل npm لـ Node.js أو pip لـ Python. كان يحتوي على حوالي 3,000+ مهارة عندما بدأت الأزمة.
اكتشف الباحثون أن 20٪ منها كانت خبيثة.
اكتشف المسح الأولي في 5 فبراير 341 مهارة خبيثة عبر السجل. وجد مسح متابعة في 15 فبراير أن العدد قد ارتفع إلى أكثر من 800 - مما يعني أن حوالي واحدة من كل خمس مهارات ClawHub مصممة لسرقة بيانات المستخدم.
ما تفعله المهارات الخبيثة
كان الحمولة الأساسية هي Atomic macOS Stealer (AMOS) - برنامج ضار معروف بسرقة بيانات الاعتماد يستهدف:
- كلمات مرور المتصفح وملفات تعريف الارتباط (Chrome، Firefox، Safari، Brave)
- محافظ العملات المشفرة (MetaMask، Phantom، Coinbase Wallet)
- كلمات مرور Keychain على macOS
- بيانات اعتماد النظام ومفاتيح SSH
يجب أن يفترض المستخدمون الذين قاموا بتثبيت أي مهارة ClawHub غير مصادق عليها خلال هذه الفترة أن بيانات اعتمادهم قد تم اختراقها.
هجوم سلسلة التوريد لـ Cline CLI (17 فبراير)
في 17 فبراير، اكتشف باحثو الأمن أن Cline CLI الإصدار 2.3.0 - أداة سطر أوامر شائعة - قد تم اختراقها لتثبيت OpenClaw سرًا على أجهزة المستخدمين. كان الإصدار الخبيث متاحًا لمدة 8 ساعات تقريبًا قبل اكتشافه وسحبه.
تم تقدير 4,000 عملية تنزيل خلال هذه الفترة. قد يكون لدى المستخدمين الذين قاموا بتثبيت Cline CLI خلال هذه الفترة مثيل OpenClaw قيد التشغيل دون علمهم.
Google و Meta تحظران OpenClaw - استجابة الصناعة
أثارت الأزمة الأمنية ردود فعل عنيفة من أكبر الأسماء في مجال التكنولوجيا.
بدأت Google في فرض قيود جماعية على مشتركي Gemini AI Pro و Ultra الذين يدفعون (خطط بقيمة 249 دولارًا شهريًا) الذين استخدموا OpenClaw للوصول إلى النماذج. أفاد المستخدمون بأنهم تم حظرهم دون سابق إنذار، وفقدوا الوصول إلى الخدمات التي كانوا يدفعون مقابلها. موقف Google: استخدام أدوات خارجية للوصول إلى نماذج الذكاء الاصطناعي ينتهك شروط الخدمة.
أصدرت Meta توجيهًا داخليًا يحظر OpenClaw على جميع أجهزة العمل. تم تحذير الموظفين من أن استخدام OpenClaw قد يؤدي إلى إنهاء الخدمة. تبعت العديد من شركات التكنولوجيا الأخرى، وفقًا لتقارير من Korea Times.
نشرت CrowdStrike استشارة مفصلة وصفت OpenClaw بأنه "فئة جديدة من المخاطر الأمنية - وكيل مستقل يتمتع بوصول واسع للنظام يستخدمه معظم المستخدمين دون أساسيات النظافة الأمنية."
وصف Cisco وكلاء الذكاء الاصطناعي الشخصيين مثل OpenClaw بأنهم "كابوس أمني" في منشور مدونة من فريق الأمن الخاص بهم.
نشرت Nature مقالًا بعنوان "روبوتات الدردشة بالذكاء الاصطناعي OpenClaw في حالة جامحة - يستمع هؤلاء العلماء"، وثقت فيه القلق المتزايد للمجتمع الأكاديمي.
كانت الرسالة من الصناعة واضحة: OpenClaw قوي، لكن وضع الأمان الافتراضي غير مقبول للاستخدام المهني.
كيفية حماية نفسك إذا كنت تشغل OpenClaw
الأزمة خطيرة، لكن لا يزال يمكن استخدام OpenClaw مع اتخاذ الاحتياطات اللازمة. إليك الخطوات الأساسية، بدءًا من الأكثر أهمية.
الخطوة 1: احصل على أرصدة واجهة برمجة التطبيقات المشروعة
لا تستخدم أبدًا مفاتيح واجهة برمجة التطبيقات المسربة أو المشتركة أو "المجانية" من الإنترنت. كشف اختراق Moltbook عن 1.5 مليون رمز واجهة برمجة تطبيقات. المفاتيح المسروقة يتم تداولها في منتديات الويب المظلم وقنوات Telegram.
احصل على أرصدتك المشروعة الخاصة من خلال AI Perks:
| برنامج الرصيد | الأرصدة المتاحة | كيفية الحصول عليها |
|---|---|---|
| Anthropic Claude (مباشر) | 1,000 دولار - 25,000 دولار | دليل AI Perks |
| OpenAI (GPT-4) | 500 دولار - 50,000 دولار | دليل AI Perks |
| AWS Activate (Bedrock) | 1,000 دولار - 100,000 دولار | دليل AI Perks |
| Microsoft Founders Hub | 500 دولار - 1,000 دولار | دليل AI Perks |
الإجمالي المحتمل: 3,000 دولار - 176,000 دولار في أرصدة مشروعة
باستخدام مفاتيحك الخاصة من AI Perks، يمكنك التحكم فيما يتم الكشف عنه. إذا حدث اختراق، يمكنك تدوير مفاتيحك على الفور دون الاعتماد على بنية تحتية مخترقة.
الخطوة 2: قم بالتحديث إلى v2026.2.22 فورًا
يشمل الإصدار الأخير 40+ إصلاحات لتقوية الأمان، ومصادقة البوابة، وإدارة الجهاز. تحقق من إصدارك وقم بالتحديث:
openclaw --version
openclaw update
أي إصدار قبل 2026.1.29 معرض لثغرة تنفيذ التعليمات البرمجية عن بعد بنقرة واحدة. أي إصدار قبل 2026.2.22 يفتقر إلى تقوية أمنية حرجة.
الخطوة 3: تمكين المصادقة
يأتي OpenClaw مع تعطيل المصادقة افتراضيًا. هذا هو السبب الرئيسي وراء تجاوز المصادقة في 93.4٪ من النسخ المكشوفة.
قم بتمكينه في التكوين الخاص بك:
security:
authentication: true
gateway_auth: true
الخطوة 4: تدقيق المهارات المثبتة الخاصة بك
قم بإزالة أي مهارة ClawHub لم تتحقق منها شخصيًا. مع اختراق 20٪ من السجل، فإن النهج الأكثر أمانًا هو إلغاء تثبيت كل شيء وإعادة تثبيت المهارات التي راجعتها فقط:
openclaw skill list
openclaw skill inspect [skill-name]
openclaw skill remove [suspicious-skill]
الخطوة 5: اتبع دليل التقوية الكامل
للحصول على قائمة مرجعية أمنية كاملة مكونة من 10 خطوات تغطي قيود الشبكة، وتكوين وضع الحماية، والتسجيل، وحدود الإنفاق - اقرأ دليل أمن OpenClaw.
بدائل أكثر أمانًا تستحق النظر
إذا كانت الأزمة الأمنية تجعلك تعيد التفكير في OpenClaw، فهناك بدائل مدارة تتولى الأمان نيابة عنك. المقايضة: تخصيص أقل، ولكن لا توجد ثغرات CVE للقلق بشأنها.
| الميزة | OpenClaw (مستضاف ذاتيًا) | Claude Code | Manus AI | ChatGPT Agent |
|---|---|---|---|---|
| نموذج الأمان | أنت تدير كل شيء | مدار من قبل Anthropic | مدار من قبل Meta | مدار من قبل OpenAI |
| تاريخ CVE | 7 ثغرات CVE في فبراير 2026 | لا يوجد علنًا | لا يوجد علنًا | لا يوجد علنًا |
| موقع البيانات | جهازك | السحابة | صندوق الحماية السحابي | السحابة |
| التخصيص | تحكم كامل | يركز على التعليمات البرمجية | يركز على المهام | للأغراض العامة |
| التكلفة | أرصدة واجهة برمجة التطبيقات فقط | 20 دولارًا - 200 دولار شهريًا | 39 دولارًا - 199 دولارًا شهريًا | 20 دولارًا - 200 دولار شهريًا |
كل بديل لا يزال يتطلب أرصدة واجهة برمجة تطبيقات الذكاء الاصطناعي للعمل بكامل طاقتها. AI Perks يغطي برامج الأرصدة لـ Anthropic و OpenAI و AWS و Google Cloud والمزيد - لذا فأنت مغطى بغض النظر عن الأداة التي تختارها.
للحصول على تفصيل مفصل لكل بديل، راجع دليل أفضل بدائل OpenClaw.
الأسئلة الشائعة
هل تم اختراق OpenClaw في فبراير 2026؟
لم يتم اختراق OpenClaw نفسه بالمعنى التقليدي. تم اكتشاف الكشف عن سبع ثغرات أمنية حرجة، وتم العثور على أكثر من 135,000 نسخة مكشوفة للإنترنت بدون مصادقة، وتم العثور على أكثر من 800 مهارة خبيثة على ClawHub تقوم بتوزيع برامج ضارة لسرقة بيانات الاعتماد. كما كشف اختراق Moltbook عن 1.5 مليون رمز واجهة برمجة تطبيقات.
هل OpenClaw آمن للاستخدام حاليًا؟
نعم، مع التكوين الصحيح. قم بالتحديث إلى v2026.2.22، وقم بتمكين المصادقة، وقم بتدقيق المهارات الخاصة بك، واستخدم بيانات اعتماد واجهة برمجة التطبيقات المشروعة من AI Perks. التثبيت الافتراضي غير المقوى ليس آمنًا - ولكن المثيل المُكوّن بشكل صحيح مع أحدث التصحيحات يعالج جميع الثغرات الأمنية المعروفة.
لماذا حظرت Google مستخدمي OpenClaw؟
فرضت Google قيودًا على مشتركي Gemini AI المدفوعين الذين استخدموا OpenClaw للوصول إلى نماذج Google AI من خلال أدوات خارجية. هذا ينتهك شروط خدمة Google. أفاد المستخدمون بأنهم فقدوا الوصول إلى خطط بقيمة 249 دولارًا شهريًا دون سابق إنذار. استخدم أرصدة واجهة برمجة التطبيقات المباشرة من AI Perks بدلاً من اشتراكات المستهلكين.
ما هو هجوم سلسلة التوريد لـ Cline CLI؟
في 17 فبراير 2026، تم اختراق Cline CLI الإصدار 2.3.0 لتثبيت OpenClaw سرًا على أجهزة المستخدمين. كان الإصدار الخبيث متاحًا لمدة 8 ساعات تقريبًا قبل سحبه. تم تقدير 4,000 عملية تنزيل. إذا قمت بتثبيت Cline CLI خلال هذه الفترة، فتحقق من وجود تثبيتات غير مصرح بها لـ OpenClaw.
كم عدد مهارات OpenClaw الخبيثة الموجودة على ClawHub؟
اعتبارًا من منتصف فبراير 2026، اكتشف الباحثون أكثر من 800 مهارة خبيثة على ClawHub - حوالي 20٪ من السجل بأكمله. الحمولة الأساسية هي Atomic macOS Stealer (AMOS)، والذي يستهدف كلمات مرور المتصفح، ومحافظ العملات المشفرة، وبيانات اعتماد النظام. قم بتثبيت المهارات التي راجعتها شخصيًا فقط.
ماذا يجب أن أفعل إذا تم كشف مثيل OpenClaw الخاص بي؟
فورًا: قم بإيقاف تشغيل المثيل، وقم بتدوير جميع مفاتيح واجهة برمجة التطبيقات، وغير كلمات المرور لأي حسابات متصلة (البريد الإلكتروني، ومنصات المراسلة، ومحافظ العملات المشفرة)، وقم بالمسح بحثًا عن البرامج الضارة. ثم قم بالتحديث إلى v2026.2.22، وقم بتمكين المصادقة، واحصل على أرصدة واجهة برمجة تطبيقات مشروعة جديدة من AI Perks قبل إعادة الاتصال.
هل لا يزال OpenClaw يستحق الاستخدام بعد الأزمة الأمنية؟
لا يزال OpenClaw أقوى وكيل ذكاء اصطناعي مفتوح المصدر متاحًا. تنبع المشكلات الأمنية من الإعدادات الافتراضية غير الآمنة والنظام البيئي المتنامي بسرعة للمهارات - وليس من عيوب التصميم الأساسية. مع التقوية الصحيحة، وبيانات الاعتماد المشروعة، وإدارة المهارات بعناية، لا يزال أداة مقنعة. الدرس الأساسي: لا تقم بتشغيله أبدًا بالإعدادات الافتراضية.
الأزمة الأمنية دعوة للاستيقاظ لوكلاء الذكاء الاصطناعي
كشفت أزمة OpenClaw حقيقة قاسية: تتطلب وكلاء الذكاء الاصطناعي مفتوحة المصدر ذات الوصول على مستوى النظام نظافة أمنية خطيرة. تجربة "التثبيت والانطلاق" الافتراضية التي جعلت OpenClaw فيروسيًا هي نفسها التي تركت أكثر من 135,000 نسخة مكشوفة.
يعمل OpenClaw Foundation (المدعوم الآن من OpenAI بعد انتقال Peter Steinberger) بنشاط على إصلاح هذه المشكلات. يتضمن الإصدار 2026.2.22 أكثر من 40 تصحيحًا لتقوية الأمان. المجتمع أقوى بعد المرور بهذه التجربة.
لكن المسؤولية لا تزال تقع عليك. قم بتحديث تثبيتك، وقم بتمكين المصادقة، وقم بتدقيق مهاراتك، وابدأ ببيانات اعتماد واجهة برمجة تطبيقات مشروعة من AI Perks. سواء بقيت مع OpenClaw أو تحولت إلى بديل مُدار - فأنت بحاجة إلى أرصدة حقيقية، وليس مفاتيح مسروقة.
لا تدع الأزمة الأمنية تكلفك أكثر مما يجب. احصل على أرصدة الذكاء الاصطناعي المشروعة وقم بتشغيل أدواتك بأمان على getaiperks.com.
