135,000 وكيلًا مستقلًا معرضون للخطر ولا أحد في غرفة الأزمات
في أواخر يناير 2026، قام أحد الباحثين في الأمن الإلكتروني باستخدام أداة شودان، وهي أداة قياسية للتعرف على الشبكات، بتتبع الإنترنت واكتشاف ما يقرب من 1,000 تثبيت لبرنامج OpenClaw مفتوحًا للجمهور، بدون كلمة مرور، وبدون مصادقة، وبدون أي آلية للسيطرة. لم يكن من الضروري استغلال ثغرة معقدة، بل كان يكفي معرفة مكان البحث. ومن خلال هذه الأبواب المفتوحة، تمكن باحث آخر من الوصول إلى مفاتيح API الخاصة بشركة Anthropic، ورموز Bots من تلغرام، وحسابات Slack، وسجلات المحادثات، ونفذ أوامر بامتيازات الإدارة. وبعد أسابيع، نشرت SecurityScorecard الأبعاد الكاملة لكارثة: أكثر من 135,000 حالة من OpenClaw معرضة للخطر في 82 دولة، منها أكثر من 50,000 كانت هشة أمام تنفيذ أكواد عن بُعد، وأكثر من 53,000 مرتبطة بخروقات سابقة.
هذه ليست قصة عن فشل في البرمجيات. إنما هي تصوير لنموذج عمل هيأ نموّه على فرضية خطيرة: أن الاعتماد الجماعي والأمان يمكن أن يكونا مشكلتين للتوالي. أولًا النمو، ثم الحماية. أظهر السوق، بدقة لا تقبل الشك، أن هذه الترتيبة لها تكلفة لا يتحملها المطور.
عندما يكون المنتج الرئيسي هو مفتاح منزلك
استقطبت OpenClaw، التي أعيدت تسميتها من Clawdbot في الأشهر السابقة، السوق بعرض ملموس: وكيل مستقل قادر على تنفيذ أوامر في نظام التشغيل، إدارة الملفات، الاتصال بتطبيقات المراسلة، والعمل من خلال سوق مفتوح للمهارات يسمى ClawHub. لم يكن تفردها في الواجهة أو نموذج اللغة الأساسي، بل في مستوى الامتيازات التي حصلت عليها على نظام المستخدم. وصول أصلي للـ shell. تكامل مباشر مع بيانات الاعتماد المخزنة. اتصال سلس مع خدمات خارجية.
إن هذه البنية المعمارية للامتيازات القصوى، بالتزامن مع إعدادات افتراضية كانت تعتمد بشكل أعمى على الاتصالات من localhost بدون مصادقة، أوجدت سطح هجوم غير مسبوق. عندما كانت هذه التثبيتات خلف بروكسيات عكسية مضبوطة بشكل خاطئ، كانت واجهة الإدارة معرضة لأي اتصال خارجي. لم يكن ذلك خطأً للمستخدم، بل كان السلوك المتوقع للنظام افتراضيًا.
أظهرت مراجعة أجريت في أواخر يناير 2026، عندما كانت المنصة لا تزال تعمل باسم Clawdbot، 512 ثغرة، ثمانية منها حرجة. ومن بين المتجهات المدروسة: حقن برومبت من خلال معاينات الروابط في الرسائل، مما سمح بتسرب البيانات إلى مجالات يتحكم بها المهاجمون دون أن يضغط المستخدم على أي شيء؛ سلاسل من الثغرات التي تتيح السيطرة الكاملة على الوكيل من خلال موقع إلكتروني، دون الحاجة إلى تثبيت أي ملحق؛ وغياب الحدود في محاولات المصادقة، مما يسهل الوصول عن طريق القوة الغاشمة.
بين 27 يناير و1 فبراير 2026، وهو فترة أطلق عليها الباحثون في الداخل "ClawHavoc"، تم نشر أكثر من 230 ملحقًا خبيثًا على ClawHub وGitHub، تم تنزيلها آلاف المرات. أكدت Reco.ai أن 341 من بين 2,857 مهارة مسجلة في المستودع كانت خبيثة، ما يمثل 12% من الكتالوج الإجمالي، صممت لتقليد أدوات التداول والمالية أثناء تثبيت برامج في الخلفية لسرقة بيانات الاعتماد، وعبارات الوصل لحقائب العملات المشفرة وبيانات جلسات المتصفح.
السوق المفتوح باعتباره عاملاً للمخاطر النظامية
كان ClawHub، على الورق، الميزة التنافسية لـ OpenClaw. مستودع مفتوح حيث يمكن لأي مطور نشر مهارات سيقوم المستخدمون الآخرون بتثبيتها بنقرة واحدة. يتكرر هذا النموذج على منطق متاجر التطبيقات المحمولة، مع اختلاف هيكلي يجعله غير قابل للمقارنة من حيث المخاطر: المهارات في OpenClaw لا تعمل في بيئة معزولة. بل تنفذ أوامر مباشرة على نظام التشغيل للمستخدم.
عندما قامت Cisco بتطبيق أداتها التحليلية على العديد من هذه المهارات، وجدت اثنتين منهما ذات أهمية قصوى وخمسة ذات خطورة عالية. كانت بعض هذه المهارات تنفذ أوامر `curl` لتسريب البيانات إلى خوادم خارجية خلال العمليات التي تبدو روتينية. بينما استخدمت أخرى حقن برومبت للتخلص من آليات الأمان الداخلية للوكيل. كانت تقييمات كاسبرسكي مباشرة: لم يكن OpenClaw، في تلك الحالة، آمنًا لأي استخدام.
أقرب تشبيه ليس متصفحًا مع ملحقات خبيثة، بل هو موظف لديه وصول كامل إلى جميع أنظمة الشركة، يمكن لأي شخص في الشارع إعطاؤه تعليمات كتابية، وسيتبع تلك التعليمات لأن قواعده الداخلية لا تميز بين الأوامر الشرعية والأوامر المزيفة. تحول حقن البرومبت اللغة الطبيعية، واجهة OpenClaw، إلى عامل هجوم. وسوق بدون رقابة فعالة يحول هذا العاكس إلى بنية تحتية إجرامية جاهزة للتوسع.
أظهر CEO لـ Archestra.AI في ظروف محكومة كيف يمكن لبريد إلكتروني أن يتسبب في استخراج الوكيل لمفاتيح خاصة. أعاد مستخدم من Reddit إنتاج النتيجة دون الحاجة لأي برومبت محدد. وثقت Oasis Security سلسلة كاملة من الثغرات التي سمحت بالاستحواذ الصامت على الوكيل من أي موقع، وقد تم تصنيفها على أنها ذات خطورة عالية، وتم إصلاحها خلال 24 ساعة بعد الإبلاغ عنها في الإصدار 2026.2.25. أصدر CNCERT، الهيئة المسؤولة عن الاستجابة للطوارئ الإلكترونية في الصين، تحذيرات رسمية. قامت السلطات الصينية بحظر OpenClaw على الأجهزة الحكومية، والشركات العامة، وأجهزة عائلات العسكريين.
اقتصاد المخاطر الخارجة
هنا يصبح تحليل نموذج العمل غير مريح. لم تصمم OpenClaw إعداداتها الافتراضية غير الآمنة بسبب إهمال جمالي. بل صممتها لتقليل الاحتكاك في التثبيت وزيادة سرعة الاعتماد. كل خطوة إضافية في عملية الإعداد تقلل معدل التحويل. كل قرار يجب على المستخدم اتخاذه قبل البدء في استخدام المنتج هو فرصة لتركه. هذه المنطق، التي تبدو عقلانية تمامًا من منظور نمو المستخدمين، تنقل تكلفة المخاطر إلى من لديه أقل قدرة على إدارتها: المستخدم النهائي.
لا تمثل أكثر من 50,000 حالة معرضة لتنفيذ أكواد عن بُعد فشلًا من المستخدمين. بل تعكس النتيجة المتوقعة لنموذج تم تحسينه بمتغير واحد، الاعتماد، وترك جميع المتغيرات الأخرى كمشاكل للنظام البيئي. لم تختار الشركات في القطاعين المالي والطاقة التي أشار إليها CNCERT على أنها معرضة بشكل خاص قبول هذا الخطر. بل ورثته من بنية لم تسألهم أبدًا عما إذا كانوا يرغبون في تحمله.
التكلفة الحقيقية لمخاطر هذه المخاطر لا تظهر في ميزانية OpenClaw. بل تظهر في فرق الأمان للشركات التي نشرت الوكيل، في ميزانيات الاستجابة للحوادث، في بيانات العملاء المخترقة، في مفاتيح API الملغاة والمجددة، في ساعات التدقيق الجنائي. كانت سرعة اعتماد OpenClaw جزءًا مما تم تمويله بشكل غير مباشر بواسطة مستخدميها.
هذا ليس خاصًا بـ OpenClaw فقط. بل هو النمط الهيكلي لأي منصة تستفيد من التوزيع دون احتساب تكلفة الموثوقية. أثبتت الأسواق للمستودعات المفتوحة، من ملحقات المتصفح إلى حزم الكود، مرارًا وتكرارًا أن الرقابة لا تتوسع مجانًا. إن نسبة 12% من المهارات الخبيثة في ClawHub ليست انحرافًا إحصائيًا؛ بل هي النتيجة المتوقعة لنظام بدون حوافز اقتصادية متوافقة لاكتشافها وإزالتها قبل أن تتراكم آلاف التنزيلات.
امتيازات قصوى، مسؤولية قليلة
تمثل الوكلاء المستقلون من الذكاء الاصطناعي قفزة نوعية مقارنة بالنماذج اللغوية التفاعلية. إن الدردشة الآلية التي تجيب بشكل خاطئ تنتج ردًا غير صحيح. بينما يمكن لوكيل مستقل له وصول إلى نظام التشغيل يعمل بموجب تعليمات مزورة أن يقوم باستخرج ملفات، وتنفيذ أكواد تعسفية، وتدمير البيانات بشكل لا يمكن استرداده، أو الإضرار بجميع بيانات الاعتماد المخزنة على الجهاز. إن سطح الضرر ليس متناسبًا مع البرنامج التقليدي.
تلك الفجوة بين القدرة والمسؤولية هي الفجوة الاستراتيجية التي لا تحلها أي تصحيحات برمجية بمفردها. أصدرت OpenClaw CVE-2026-25253 في 29 يناير، وقاموا بإصلاحه في 30 يناير في الإصدار 2026.1.29، وأغلقوا سلسلة Oasis في الإصدار 2026.2.25 في أقل من 24 ساعة. كانت سرعة الاستجابة الفنية ملحوظة. لكن الـ 135,000 نقطة معرضة لا تتحديث بمفردها، والـ 341 مهارة خبيثة التي تم تنزيلها لا يتم إلغاء تثبيتها بواسطة نشرة أمان.
تواجه الشركات التي تفكر في نشر الوكلاء المستقلين في عملياتها قرارًا معماريًا، وليس قرارًا تكنولوجيًا. إن منح نظام مستقل امتيازات بمستوى المدير على بنية تحتية حيوية، دون عزل تلك القدرات في بيئات محصورة، دون تدقيق كل مهارة مثبتة، ودون مراقبة مستمرة للسلوك الشاذ، هو نقل السيطرة التشغيلية إلى نظام تكون سطح المناورة فيه هو اللغة الطبيعية. واللغة الطبيعية لا تحتوي على جدار حماية.
إن تكليف أي مستوى إداري بتقييم هذه الفئة من الأدوات واضح: يجب أن يكشف نموذج العمل لمزود الوكلاء المستقلين عن كيفية احتساب تكلفة الأمان داخليًا، ومن يتحمل تكلفة مراقبة السوق، وما هي آليات العزل النشطة بشكل افتراضي، وماذا يحدث عندما يعمل الوكيل بناءً على تعليمات مزورة. إذا لم تكن تلك الأجوبة موجودة في العقد، فهي بالتأكيد موجودة في ميزانية الاستجابة للحوادث الخاصة بالعميل. ستكتشف القيادات التي تنشر هذه الأدوات كما لو كانت برمجيات إنتاجية تقليدية أن التكلفة الحقيقية للاستقلال تحددها الجهة المهاجمة، وليس المزود.
