مهارت‌های هوش مصنوعی Openclaw در برابر سوءاستفاده‌های مخرب آسیب‌پذیر هستند، پژوهشگران Certik هشدار می‌دهند

محدودیت‌های خط لولهٔ تعدیل‌گری Clawhub

گزارشی از شرکت امنیت سایبری Certik شکاف‌های امنیتی قابل‌توجهی را در OpenClaw، یک پلتفرم متن‌باز عاملِ هوش مصنوعی، آشکار کرده و هشدار داده است که اتکای آن به «اسکن مهارت» برای محافظت از کاربران در برابر افزونه‌های مخرب شخص ثالث کافی نیست.

یافته‌ها که در 16 مارس 2026 منتشر شده‌اند، نشان می‌دهند مدل امنیتی این پلتفرم بیش از حد به تشخیص و هشدارها متکی است و نه به ایزوله‌سازیِ مستحکم در زمان اجرا؛ موضوعی که کاربران را در برابر رخنه‌های سطح میزبان آسیب‌پذیر می‌گذارد.

طبق گزارش، بازار Openclaw با نام Clawhub در حال حاضر از یک فرایند تعدیل‌گری چندلایه برای بررسی «مهارت‌ها» استفاده می‌کند—برنامه‌های شخص ثالثی که به عامل هوش مصنوعی قابلیت‌هایی مانند خودکارسازی سیستم یا عملیات کیف پول رمزارزی می‌دهند. این خط لوله شامل Virustotal برای اسکن بدافزارهای شناخته‌شده و «موتور تعدیل‌گری ایستا» است؛ ابزاری که در 8 مارس 2026 معرفی شد تا الگوهای کد مشکوک را پرچم‌گذاری کند. همچنین شامل چیزی است که گزارش از آن به‌عنوان «آشکارساز ناسازگاری» یاد کرده؛ ابزاری که برای شناسایی عدم تطابق میان هدف اعلام‌شدهٔ یک مهارت و رفتار واقعی آن طراحی شده است.

با این حال، پژوهشگران Certik گفتند قواعد ایستایی که به‌دنبال «پرچم‌های قرمز» می‌گشتند با بازنویسی سادهٔ کد دور زده شدند. آن‌ها همچنین اظهار کردند لایهٔ بازبینیِ هوش مصنوعی در تشخیص نیت‌های آشکار مؤثر بود، اما در شناسایی آسیب‌پذیری‌های قابل سوءاستفاده که درون کدی با ظاهر قابل‌قبول پنهان شده بود، دچار مشکل می‌شد.

شکاف «در انتظار»

یکی از بحرانی‌ترین نقص‌هایی که Certik شناسایی کرد، نحوهٔ برخورد با نتایج اسکنِ «در انتظار» است. پژوهشگران دریافتند یک مهارت می‌تواند حتی در حالی که نتایج Virustotal هنوز در وضعیت انتظار است—فرایندی که ممکن است ساعت‌ها یا روزها طول بکشد—فعال و قابل نصب در بازار باقی بماند. در عمل، با این مهارت‌های در انتظار مانند موارد بی‌خطر برخورد می‌شد و بدون هشدار به کاربر امکان نصب داشتند.

برای اثبات این آسیب‌پذیری، پژوهشگران Certik یک مهارت اثبات مفهوم (PoC) با نام «test-web-searcher» ساختند. این مهارت ظاهراً کارکردی و بی‌خطر به نظر می‌رسید، اما یک باگ پنهان با «شکلِ آسیب‌پذیری» داشت که امکان اجرای دلخواه دستور روی ماشین میزبان را فراهم می‌کرد. وقتی از طریق تلگرام فراخوانی شد، این مهارت با موفقیت از سندباکس اختیاری Openclaw عبور کرد و روی دستگاه پژوهشگر «ماشین‌حساب را بالا آورد»—نمایش کلاسیکِ تسلط کامل بر سیستم.

این گزارش نتیجه می‌گیرد که تشخیص هرگز نمی‌تواند جایگزین یک مرز امنیتی واقعی باشد. Certik از توسعه‌دهندگان Openclaw می‌خواهد مهارت‌های شخص ثالث را به‌صورت پیش‌فرض در محیط‌های ایزوله اجرا کنند، نه اینکه به پیکربندی اختیاریِ کاربر تکیه کنند. توسعه‌دهندگان همچنین باید مدلی را پیاده‌سازی کنند که در آن مهارت‌ها از ابتدا نیازهای مشخص منابع را اعلام کنند؛ مشابه سیستم‌عامل‌های مدرن موبایل.

برای کاربران، Certik هشدار صریحی ارائه کرد: برچسب «بی‌خطر» در Clawhub اثبات امنیت نیست. تا زمانی که ایزوله‌سازی قوی‌تر به‌صورت پیش‌فرض اعمال نشود، این پلتفرم فقط باید در محیط‌های کم‌ارزش و دور از اعتبارنامه‌ها یا دارایی‌های حساس استفاده شود.

سؤالات متداول ❓

• Certik چه مشکل امنیتی‌ای را در Openclaw پیدا کرد؟ Certik گزارش داد که اتکای Openclaw به «اسکن مهارت» از کاربران در برابر افزونه‌های مخرب شخص ثالث به‌طور کافی محافظت نمی‌کند.
• فرایند تعدیل‌گری Openclaw چگونه عمل می‌کند؟ Openclaw از یک فرایند تعدیل‌گری چندلایه استفاده می‌کند که شامل ابزارهایی مانند Virustotal و یک آشکارساز ناسازگاری برای بررسی «مهارت‌های» شخص ثالث است.
• نقص بحرانی مربوط به نتایج اسکنِ در انتظار چیست؟ مهارت‌ها می‌توانند در حالی که نتایج اسکن در وضعیت انتظار است فعال و قابل نصب باقی بمانند؛ این موضوع ریسک ایجاد می‌کند زیرا کاربران ممکن است ناخواسته افزونه‌های مخرب نصب کنند.
• کاربران برای محافظت از داده‌های خود در Openclaw چه کاری باید انجام دهند؟ به کاربران توصیه می‌شود تا زمانی که اقدامات ایزوله‌سازی قوی‌تر توسط توسعه‌دهندگان پیاده‌سازی نشده است، Openclaw را فقط در محیط‌های کم‌ارزش استفاده کنند.