تقرير CertiK: تتبع مشكلات أمان OpenClaw، والتركيز على المخاطر النظامية لنظام الوكيل الذكي AI ودليل الحماية

أخبار ME، 31 مارس (UTC+8)، 31 مارس، نشرت شركة أمن Web3 CertiK تقرير «تقرير OpenClaw الأمني»، حيث أجرت مراجعة وتحليلًا منهجيًا للحدود الأمنية وأنماط المخاطر التي ظهرت أثناء تطوير OpenClaw، وقدمت توصيات حماية موجهة للمطورين والمستخدمين.

يشير التقرير إلى أن معماريّة OpenClaw تربط بين المدخلات الخارجية وبيئة تنفيذ محلية عالية الصلاحيات، وأن تصميم «قدرات قوية + صلاحيات عالية» لا يرفع مستوى الأتمتة فحسب، بل يفرض أيضًا متطلبات أمنية أعلى: إذ إن نموذج الأمان المبكر المستند إلى «بيئة موثوقة محليًا» كشف تدريجيًا عن حدوده في سيناريوهات النشر المعقدة. وتُظهر البيانات أنه خلال الفترة من نوفمبر 2025 إلى مارس 2026، أصدرت OpenClaw ما يزيد عن 280 إعلانًا أمنيًا على GitHub و100 ضعف CVE أو أكثر. وقد أجرت الدراسة تلخيصًا لأنواع المخاطر النموذجية وأسبابها من عدة جوانب، مثل التحكم عبر البوابة، وربط الهوية، وآلية التنفيذ، ونظام الإضافات البيئي.

وبناءً على ذلك، يركز التقرير بشكل خاص على توصيات للمطورين والمستخدمين: إذ يتعين على المطورين وضع نموذج تهديد في مرحلة مبكرة، وإدراج آليات التحكم في الوصول، وعزل الحماية (السَّنْدُكس/الساندبوكس)، وميراث الصلاحيات ضمن التصميم الأساسي؛ كما يتعين تعزيز التحقق والقيود على الإضافات والمدخلات الخارجية. أما المستخدمون، فينبغي لهم تجنب تعريض الخدمات للعامة، وتطبيق مبدأ أقل قدر من الصلاحيات، وإجراء تدقيق مستمر للإعدادات وإدارة عزل البيئة لتقليل مخاطر إساءة الاستخدام أو الاستخدام غير المقصود للنظام. (المصدر: CertiK)