تقرير CertiK: تتبع مشكلات أمان OpenClaw، والتركيز على المخاطر النظامية لنظام الوكيل الذكي AI ودليل الحماية

أخبار ME News، 31 مارس (UTC+8)، أصدرت شركة أمن Web3 CertiK تقرير الأمان 《OpenClaw security report》، حيث أجرت مراجعة وتحليلًا منهجيين لحدود الأمان وأنماط المخاطر التي ظهرت خلال تطوير OpenClaw، وقدّمت توصيات للحماية لكل من المطورين والمستخدمين.

يشير التقرير إلى أن بنية OpenClaw تربط بين المدخلات الخارجية وبيئة تنفيذ محلية عالية الصلاحيات، وأن تصميم “قدرات قوية + صلاحيات عالية” يعزّز مستوى الأتمتة في الوقت نفسه لكنه يفرض متطلبات أمنية أعلى: إذ إن نموذج الأمان المبكر المعتمد على “بيئة محلية موثوقة” أظهر تدريجيًا أوجه قصور في سيناريوهات النشر المعقدة. وتُظهر البيانات أنه خلال الفترة من نوفمبر 2025 حتى مارس 2026، ولّد OpenClaw ما مجموعه أكثر من 280 إعلانًا أمنيًا على GitHub وأكثر من 100 ثغرة CVE. وتقوم الدراسة، عبر عدة طبقات مثل التحكم في البوابة، وربط الهوية، وآلية التنفيذ، والنظام البيئي للإضافات، بتلخيص أنواع المخاطر النموذجية وأسبابها الجذرية.

وبناءً على ذلك، يركّز التقرير بشكل أساسي على تقديم توصيات للمطورين والمستخدمين: إذ يحتاج المطورون إلى وضع نموذج تهديد في المراحل المبكرة، وإدماج التحكم في الوصول، وعزل الحاويات/الرمل (sandbox)، وآلية وراثة الصلاحيات ضمن التصميم الأساسي؛ كما ينبغي تعزيز التحقق والقيود على الإضافات والمدخلات الخارجية. أما بالنسبة للمستخدمين، فينبغي عليهم تجنب تعريض النظام للعامة عبر الإنترنت، وتطبيق مبدأ أقل الصلاحيات، وإجراء تدقيق مستمر للإعدادات وإدارة عزل البيئة، لتقليل مخاطر إساءة الاستخدام أو الاستخدام الخاطئ للنظام. (المصدر: CertiK)