مؤخرًا لاحظت خبرًا خطيرًا حول الأمان يجب أن يلاحظه جميع مستخدمي الذكاء الاصطناعي والمطورين. اتضح أن سوق الإضافات ClawHub المملوك لـ OpenClaw تعرض لهجوم كبير على سلسلة التوريد.

القصة كالتالي. اكتشف الباحثون من Awesome Agents أن هناك 1,184 مهارة خطيرة تتداول على ClawHub. هذه المهارات ليست بسيطة، فهي يمكن أن تسرق مفاتيح SSH، محافظ العملات الرقمية، كلمات مرور المتصفح، وحتى تفتح قشرة عكسية. لذلك إذا قمت بتثبيت إضافة من هناك، فهناك خطر كبير.

ما يجعل الأمر أكثر مرارة هو أن هجومًا واحدًا فقط نجح في رفع 677 حزمة خبيثة، أي 57% من إجمالي المهارات الضارة الموجودة. هذا يعني أن الهجمات ليست عشوائية، بل منسقة بشكل جيد. والأسوأ من ذلك، أن 36.8% من جميع المهارات على ClawHub تحتوي على ثغرة واحدة على الأقل. تخيل، هناك أكثر من 135,000 نسخة من OpenClaw مفتوحة في 82 دولة مختلفة.

أشهر المهارات الخبيثة اسمها "ماذا سيفعل إيلون". هذه المهارة تم تحميلها 4,000 مرة (وكلها مزيفة). لديها 9 ثغرات، اثنتان منها خطيرتان. طريقة عملها تعتمد على الهندسة الاجتماعية "ClickFix" وحقن الأوامر لتحويل المستخدم المستهدف ووكيل الذكاء الاصطناعي.

لحسن الحظ، هناك جهة استجابت بسرعة. تعاونت OpenClaw مباشرة مع VirusTotal لفحص جميع المهارات وتنظيف الخبيثة منها. هذا مهم لأن VirusTotal يمكنه اكتشاف البرمجيات الخبيثة باستخدام قاعدة بيانات توقيعات شاملة.

إذا كنت قد استخدمت ClawHub من قبل، فلا تتراخى. ينصح خبراء الأمان بإعادة تعيين جميع بيانات الاعتماد الخاصة بك على الفور، وإلغاء جميع مفاتيح API، ومراجعة إعدادات الأمان. وتحقق أيضًا من متصفحك إذا كان هناك شيء مريب. هذا ليس هوسًا، بل ضرورة في العصر الحالي حيث تزداد هجمات سلسلة التوريد انتشارًا.