أحدث اكتشافات وكيل اكتشاف الثغرات 360: ثلاثة ثغرات كبيرة في OpenClaw

يُستحسن للاعتماد على تقارير محلّلي “جين كيلين” عند تداول الأسهم؛ وهي موثوقة، احترافية، في الوقت المناسب، وشاملة، لمساعدتك في اكتشاف فرص المواضيع ذات الإمكانات!

ذكرت SINA للتكنولوجيا في مساء 7 أبريل أنه، في الآونة الأخيرة، نجح وكيل استخراج الثغرات في شركة 360 المخصص في استهداف OpenClaw في اكتشاف وإبلاغ 3 ثغرات عالية القيمة: واحدة شديدة الخطورة واثنتين متوسطتي الخطورة، وبذلك بلغ إجماليها 3 ثغرات. وفي الوقت الحالي، تم إصلاح جميع الثغرات الجديدة التي تم اكتشافها بواسطة الجهة الرسمية ونُشرت للتداول بشكل علني.

تشير الثغرات الثلاث الجديدة التي تم اكتشافها مباشرةً إلى آلية التشغيل الأساسية لوكلاء الذكاء الاصطناعي؛ إذ تؤثر المخاطر الأمنية بشكل مباشر على الأمان الأساسي لأجهزة المستخدمين والبيانات والحسابات، وتكون الأضرار واضحة وبديهية. ومن بينها، توجد الثغرة شديدة الخطورة في مرحلة اعتماد وتنفيذ السكربتات محليًا؛ إذ يقوم النظام بالتحقق فقط من حالة اعتماد السكربت، دون التحقق مما إذا كان محتوى السكربت قد تم العبث به. يمكن للمهاجم، بعد اجتياز السكربت لمرحلة الاعتماد، استبدال الكود بشكل خبيث، ومن ثم تنفيذ عمليات غير قانونية على جهاز المستخدم، لتحقيق سرقة المعلومات وتعديل الملفات وحتى التحكم الكامل بالجهاز.

توجد ثغرة متوسطة الخطورة في عملية تفويض OAuth عبر اللصق اليدوي؛ وذلك لأن المطور أعاد استخدام معلمات التحقق الأمنية السرّية المحلية بشكل مباشر كمعلمات عامة قابلة للنشر. ستتسرب معلومات التحقق الأساسية مع عنوان ردّ الاستدعاء URL. يمكن للمهاجم سرقة هذه المعلومات عبر الحافظة (Clipboard)، أو وكلاء الشبكة، أو طرق مماثلة، والحصول بسهولة على رموز الوصول والاستيلاء على خدمات Google المرتبطة بالمستخدم، مما يشكل تهديدًا خطيرًا لأمن حساب المستخدم وخصوصية البيانات. وثمة ثغرة متوسطة أخرى تظهر في عملية معالجة بيانات WebSocket الخاصة بمكالمات الصوت؛ إذ لا يقوم النظام بالتحقق المسبق من صحة البيانات قبل معالجتها، بل يتعامل مباشرة مع حزم بيانات ضخمة. يمكن للمهاجم إتلاف موارد النظام عبر إرسال عدد كبير من حزم البيانات الضخمة، ما يؤدي إلى تعطل الجهاز أو تحطم النظام، وبالتالي يتعذر استخدام الخدمات العادية.

ووفقًا للبيان، تكون منظومة وكيل استخراج الثغرات من 360 قد تراكمت لديها اكتشافات لعدة ثغرات أمنية عالية القيمة في العديد من وكلاء الذكاء الاصطناعي السائدة. وبخلاف أدوات فحص الثغرات التقليدية القائمة على القواعد، يحقق وكيل استخراج الثغرات من 360 قفزة من نمط الفحص المُعتمد على القواعد إلى نمط التفكير الذكي، بما يمكّنه من تحديد بدقة عيوب منطق التفويض داخل وكلاء الذكاء الاصطناعي، وثغرات التحكم في الموارد، ومخاطر تنفيذ البروتوكولات وغيرها من المشكلات العميقة. وتكمن قيمته الأكثر أهمية على مستوى المعالم في أنه يتيح لبحثي الأمن الذين راكموا خبرات حدس دفاع/هجوم لسنوات عديدة امتلاك حاوية رقمية يمكن ترسيخها وإعادة استخدامها وتطويرها بشكل مستمر لأول مرة. تُنجز الآن بكفاءة عالية بواسطة وكيل استخراج الثغرات الأعمال الأساسية المتكررة والميكانيكية مثل التحقق وإعادة الإنتاج واكتشاف الثغرات، ما يحرر خبراء الأمن من العمل الرتيب والمتكرر، ويعيدهم إلى ساحة المعركة الأساسية لأبحاث الدفاع والهجوم الأكثر إبداعًا وتصميم القواعد وتقييم المخاطر، وبذلك تتحقق فعليًا أعلى قيمة ممكنة لإطلاق الموارد البشرية والقدرات التقنية.

إعلان من SINA: هذه الرسالة مُعادة النشر من وسائط شريكة لدى SINA. تم نشرها على موقع Sina.com.cn بهدف نقل معلومات إضافية، ولا يعني ذلك موافقة SINA على وجهات نظرها أو تأكيد ما ورد فيها. محتوى المقال متاح فقط للرجوع إليه، ولا يشكل نصيحة استثمارية. يتحمل المستثمرون المسؤولية عن أي تصرف بناءً على ذلك، وتكون المخاطر على عاتقهم.

المسؤول عن التحرير: سونغ يا فانغ

(المحرر): ليو تشانغ )

     【إخلاء المسؤولية】لا يمثل هذا المقال إلا آراء الكاتب نفسه ولا علاقة له بأي جهة على موقع Hexun. يظل موقع Hexun محايدًا تجاه العبارات والأحكام الواردة في المقال، ولا يقدم أي ضمان صريح أو ضمني بشأن دقة أو موثوقية أو اكتمال أي محتوى وارد. يُرجى من القراء الاكتفاء بالرجوع إليه فقط، وتحمل المسؤولية كاملة بأنفسهم. البريد الإلكتروني: news_center@staff.hexun.com

بلاغ