SlowMist تكتشف 341 مهارة خبيثة في مركز إضافات OpenClaw
عثرت SlowMist على 341 مهارة خبيثة على ClawHub تستهدف مستخدمي OpenClaw، حيث قامت حملة ClawHavoc بتوزيع برامج AMOS الخبيثة.
خلاصة سريعة
تم إنشاء الملخص بواسطة الذكاء الاصطناعي ومراجعته من قبل غرفة الأخبار.
كشف تدقيق 2857 مهارة أن 12% منها عبارة عن برامج ضارة خبيثة.
تستهدف حملة ClawHavoc أنظمة macOS وWindows باستخدام برامج سرقة المعلومات.
تقوم محافظ العملات المشفرة المزيفة وأدوات يوتيوب بتوصيل الحمولات.
تتعاون OpenClaw مع VirusTotal لفحص جميع الإضافات المستقبلية.
ضرب تحذير أمني كبير منظومة OpenClaw للذكاء الاصطناعي. إذ كشفت شركة SlowMist المتخصصة في أمن البلوكشين عن هجوم واسع على سلسلة التوريد داخل ClawHub، وهو متجر الإضافات الخاص بالمنصة. وظهرت المشكلة بعد أن قامت Koi Security بفحص 2,857 مهارة، لتصنّف 341 منها على أنها خبيثة.
SlowMist reports supply chain poisoning in OpenClaw's ClawHub plugin center. Weak reviews allowed numerous malicious skills to infiltrate and spread harmful code. Koi Security scanned 2,857 skills, identifying 341 malicious. SlowMist analyzed >400 IOCs, revealing organized batch… pic.twitter.com/5Kwho8aXMQ
— Wu Blockchain (@WuBlockchain) February 9, 2026
ويعني ذلك أن نحو 12% من الإضافات التي جرى فحصها احتوت على شيفرات ضارة. وأثار هذا الاكتشاف مخاوف واسعة، خصوصًا أن منصة OpenClaw شهدت نموًا سريعًا خلال الأشهر الماضية. فقد جذبت أدوات الوكلاء مفتوحة المصدر عددًا كبيرًا من المطورين، ما جعل المنصة أيضًا هدفًا أكثر جاذبية للمهاجمين.
ضعف المراجعات سمح بمرور المهارات الخبيثة
نجح الهجوم بسبب ضعف إجراءات المراجعة في متجر الإضافات. إذ قام القراصنة برفع مهارات بدت طبيعية من الخارج، بينما احتوت شيفراتها الداخلية على تعليمات مخفية. وأوضحت SlowMist أن العديد من هذه المهارات استخدمت هجومًا من مرحلتين. في المرحلة الأولى، تضمّنت الإضافة أوامر مشفّرة ومموّهة، غالبًا ما ظهرت على أنها خطوات إعداد أو تثبيت اعتمادات. لكن هذه الأوامر كانت تفك شيفرات مخفية سرًا.
في المرحلة الثانية، جرى تنزيل الحمولة الخبيثة الفعلية. حيث سحبت الشيفرة بيانات من نطاقات أو عناوين IP ثابتة، ثم نفذت برمجيات خبيثة على نظام الضحية. ومن الأمثلة على ذلك مهارة باسم “X (Twitter) Trends”، التي بدت غير ضارة ومفيدة. إلا أنها أخفت بابًا خلفيًا مشفّرًا بصيغة Base64. وكان بإمكان الشيفرة سرقة كلمات المرور، وجمع الملفات، وإرسالها إلى خادم بعيد.
العثور على مئات الإضافات الخبيثة
فاجأ حجم الهجوم العديد من المحللين. فمن أصل 2,857 مهارة جرى فحصها، أظهرت 341 مهارة سلوكًا خبيثًا. وربطت Koi Security معظمها بحملة واحدة واسعة. كما حللت SlowMist أكثر من 400 مؤشر اختراق، وأظهرت البيانات وجود عمليات رفع منظمة على دفعات. واستخدمت العديد من الإضافات النطاقات نفسها والبنية التحتية ذاتها.
وكانت المخاطر كبيرة على المستخدمين الذين شغّلوا هذه المهارات. فقد طلبت بعض الإضافات صلاحيات الوصول إلى واجهة الأوامر أو إلى الملفات، ما أتاح للبرمجيات الخبيثة فرصة سرقة بيانات الدخول، والمستندات، ومفاتيح واجهات البرمجة. كما قامت بعض المهارات المزيفة بمحاكاة أدوات للعملات الرقمية، أو خدمات يوتيوب، أو أدوات أتمتة. وساعدت هذه الأسماء المألوفة على تثبيتها دون إثارة الشبهات.
شركات الأمن تحث على الحذر
بدأ باحثو الأمن بالفعل جهود التنظيف والمعالجة. وأفادت SlowMist بالإبلاغ عن مئات العناصر المشبوهة خلال عمليات الفحص الأولية. وفي الوقت نفسه، أطلقت Koi Security أداة فحص مجانية لمهارات OpenClaw. ويحذر الخبراء الآن المستخدمين من تشغيل أوامر الإضافات دون تدقيق. فقد بدأت العديد من الهجمات من خطوات إعداد بسيطة داخل ملفات المهارات. كما يُنصح بتجنب أي مهارة تطلب كلمات مرور أو صلاحيات واسعة على النظام.
ويُحث المطورون بدورهم على اختبار الإضافات داخل بيئات معزولة. وينبغي أن تكون عمليات الفحص المستقلة والمصادر الرسمية خط الدفاع الأول. ويُظهر هذا الحادث المخاطر الكامنة داخل منظومات الذكاء الاصطناعي سريعة النمو. فمتاجر الإضافات غالبًا ما تتوسع بسرعة، بينما قد تتأخر إجراءات الأمان. ومع تزايد قدرات وكلاء الذكاء الاصطناعي، ستحتاج هذه المنصات إلى أنظمة مراجعة أكثر صرامة. وحتى ذلك الحين، قد يضطر المستخدمون إلى التعامل مع كل إضافة على أنها تهديد محتمل.
تابعنا على Google News
احصل على أحدث رؤى وتحديثات العملات المشفرة.
