مراقب باشید: آسیب‌پذیری‌های OpenClaw
امروز به سراغ عامل هوش مصنوعی OpenClawمی‌رویم — که پیش‌تر با نام‌های «Clawdbot» و سپس «Moltbot» شناخته می‌شد — تا یک بار دیگر نشان دهیم که هوش مصنوعی امن هنوز راه زیادی دارد.

عامل جدید OpenClaw برای استفاده ناامن شناخته شد

در اواخر ژانویه 2026، دنیای دیجیتال تحت تأثیر هیاهویی پیرامون Clawdbotقرار گرفت؛ یک عامل هوش مصنوعی خودمختار که در عرض ۲۴ ساعت بیش از ۲۰۰۰۰ ستاره در GitHubبه‌دست آورد و توانست باعث کمبود Mac miniدر چندین فروشگاه ایالات متحده شود. به‌دستور Anthropic — که از شباهت واضح آن با Claudeخوشحال نبودند — Clawdbot سریعاً به «Moltbot» تغییر نام داد و چند روز بعد به «OpenClaw» تبدیل شد.

این پروژه متن‌باز به‌طور معجزه‌آسا یک رایانه اپل (و دستگاه‌های دیگر، که بعداً بیشتر توضیح داده می‌شود) را به یک سرور خانگی هوشمند و خودآموز تبدیل می‌کند. این سیستم به اپلیکیشن‌های پیام‌رسان محبوب متصل می‌شود، هر چیزی که دارای API یا توکن باشد را مدیریت می‌کند، ۲۴/۷ فعال است و قادر به نوشتن «کد احساس» خود برای هر وظیفه‌ای است که هنوز نمی‌داند چگونه انجام دهد. به نظر می‌رسد که این دقیقاً آغاز یک شورش ماشینی است، اما تهدید واقعی در حال حاضر چیز دیگری است.

ریسک‌های امنیتی: قابل اصلاح — و آن‌هایی که نه‌چندان

متخصصان امنیت سایبری آسیب‌پذیری‌های بحرانی را کشف کرده‌اند که درها را برای سرقت کلیدهای خصوصی، توکن‌های API و سایر داده‌های کاربری باز می‌کند و همچنین اجرای کد از راه دور را ممکن می‌سازد. علاوه بر این، برای عملکرد کامل این سرویس، دسترسی کامل به سیستم‌عامل و خط فرمان نیاز است. این موضوع دو ریسک ایجاد می‌کند: شما می‌توانید یا کل سیستم را خراب کنید یا تمامی داده‌ها را به‌دلیل پیکربندی نادرست (خبر بد: این تنظیمات پیش‌فرض هستند) نشت دهید.

OpenClaw چیست؟
OpenClaw یک عامل هوش مصنوعی متن‌باز است که اتوماسیون را به سطح جدیدی می‌برد. تمام ویژگی‌هایی که شرکت‌های بزرگ فناوری با دقت در دستیاران هوشمند خود قرار می‌دهند، حالا می‌توانند به‌صورت دستی پیکربندی شوند، بدون اینکه مجبور به استفاده از یک اکوسیستم خاص باشید. علاوه بر این، عملکردها و اتوماسیون‌ها می‌توانند کاملاً توسط کاربر توسعه داده شوند و با سایر علاقه‌مندان به اشتراک گذاشته شوند.
تا زمان نوشتن این پست، کاتالوگ مهارت‌های پیش‌ساخته OpenClawحدود ۶۰۰۰ سناریو دارد — که این به لطف محبوبیت فوق‌العاده این عامل هم در میان علاقه‌مندان و هم مهاجمان بدسابقه است. البته، گفتن اینکه این یک «کاتالوگ» است، کمی اغراق‌آمیز است: هیچ‌گونه دسته‌بندی، فیلتر یا نظارت بر بارگذاری‌های مهارت‌ها وجود ندارد.

Clawdbot/Moltbot/OpenClawتوسط توسعه‌دهنده اتریشی پیتر اشتاینبرگر، مغز متفکر PSPDFkit، ایجاد شده است. معماری OpenClawاغلب به‌عنوان «خود-هک‌شدنی» توصیف می‌شود: این عامل پیکربندی، حافظه بلندمدت و مهارت‌های خود را در فایل‌های محلی Markdownذخیره می‌کند، که به آن امکان می‌دهد خود را بهبود بخشد و به‌طور خودکار راه‌اندازی مجدد شود. هنگامی که پیتر Clawdbotرا در دسامبر ۲۰۲۵ راه‌اندازی کرد، ویروسی شد: کاربران اینترنت را با عکس‌هایی از پشته‌های Mac mini، اسکرین‌شات‌های پیکربندی و پاسخ‌های ربات پر کردند. در حالی که پیتر خود اشاره کرد که یک Raspberry Piبرای اجرای این سرویس کافی است، بیشتر کاربران از وعده یکپارچگی بدون مشکل با اکوسیستم اپل جذب شدند.

ریسک‌های امنیتی: قابل اصلاح — و آن‌هایی که نه‌چندان

در حالی که OpenClawدر حال تسلط بر رسانه‌های اجتماعی بود، کارشناسان امنیت سایبری سرهای خود را در دستانشان دفن کرده بودند: تعداد آسیب‌پذیری‌های موجود در این دستیار هوش مصنوعی از هر پیش‌بینی حتی بزرگتر بود.

احراز هویت؟ چه احراز هویتی؟

در اواخر ژانویه ۲۰۲۶، محققی با شناسه @fmdz387اسکن‌هایی با استفاده از موتور جستجو Shodanانجام داد و متوجه شد که نزدیک به هزار نصب OpenClawبه‌طور عمومی قابل دسترس هستند — که همه بدون هیچ‌گونه احراز هویت اجرا می‌شوند.

محقق Jamieson O'Reillyقدمی فراتر برداشت و موفق شد به کلیدهای API Anthropic، توکن‌های ربات تلگرام، حساب‌های Slackو تاریخچه چت‌های کامل دسترسی پیدا کند. او حتی قادر بود پیام‌هایی از طرف کاربر ارسال کند و از همه مهم‌تر، دستورات را با دسترسی کامل به سطح مدیر سیستم اجرا کند.

مسئله اصلی این است که صدها رابط مدیریت پیکربندی‌شده اشتباه OpenClawدر اینترنت به‌طور گسترده باز هستند. به‌طور پیش‌فرض، این عامل ارتباطات از 127.0.0.1/localhostرا به‌عنوان معتبر در نظر می‌گیرد و دسترسی کامل بدون درخواست از کاربر برای احراز هویت ارائه می‌دهد. اما اگر دروازه (gateway) پشت یک پراکسی معکوس پیکربندی نادرست قرار گرفته باشد، تمام درخواست‌های خارجی به 127.0.0.1هدایت می‌شوند. سپس سیستم آن‌ها را به‌عنوان ترافیک محلی در نظر می‌گیرد و به‌طور خودکار کلیدها را به مهاجم تحویل می‌دهد.

تزریق‌های فریبکارانه

Prompt Injectionیک حمله است که در آن محتوای مخرب در داده‌های پردازش‌شده توسط عامل (ایمیل‌ها، اسناد، صفحات وب و حتی تصاویر) گنجانده می‌شود و مدل زبان بزرگ را مجبور به انجام اقدامات غیرمنتظره می‌کند که توسط کاربر در نظر گرفته نشده است. این حملات با توجه به ماهیت مدل‌های زبان بزرگ، هیچ دفاعی قطعی ندارند. برای مثال، همان‌طور که اخیراً در پست خود اشاره کردیم، در شکستن ایمن: چگونه شعر زبان AI را شل می‌کند، درخواست‌های نوشته‌شده با قافیه به‌طور قابل‌توجهی کارایی حصارهای ایمنی مدل‌های زبان بزرگ را تضعیف می‌کنند.

Matvey Kukuy، مدیرعامل Archestra.AI، نشان داد که چگونه می‌توان یک کلید خصوصی را از رایانه‌ای که OpenClawبر روی آن اجرا می‌شود استخراج کرد. او یک ایمیل حاوی تزریق درخواست به صندوق ورودی لینک‌شده ارسال کرد و سپس از ربات خواست تا ایمیل‌ها را بررسی کند؛ عامل سپس کلید خصوصی را از دستگاه آسیب‌دیده تحویل داد. در آزمایش دیگری، کاربر William Peltomäkiدر Redditایمیلی برای خود ارسال کرد که دستوراتی را ارائه داد که باعث شد ربات ایمیل‌ها را از «قربانی» به «مهاجم» ارسال کند، بدون نیاز به درخواست یا تأیید.

مهارت‌های مخرب

کاتالوگ مهارت‌های OpenClawکه پیش‌تر ذکر شد، به دلیل عدم نظارت به زمین پرورش کدهای مخرب تبدیل شده است. در کمتر از یک هفته، از ۲۷ ژانویه تا ۱ فوریه، بیش از ۲۳۰ پلاگین اسکریپت مخرب در ClawHubو GitHubمنتشر شد که به کاربران OpenClawارسال شده و هزاران بار دانلود شدند.

آیا می‌توانید OpenClawرا به‌طور ایمن استفاده کنید؟

اگر با وجود تمام ریسک‌هایی که بیان کردیم، هنوز طرفدار آزمایش‌کردن OpenClawهستید، به شدت توصیه می‌کنیم که این قوانین دقیق را رعایت کنید:

•  از یک رایانه اضافی یا VPS برای آزمایش استفاده کنید.
• همه مستندات OpenClawرا مطالعه کنید.
• از حساب‌های «Burner» برای هر اپ پیام‌رسانی که به OpenClawمتصل می‌کنید، استفاده کنید.
• وضعیت امنیتی OpenClawرا به‌طور منظم با استفاده از فرمان: security audit --deep بررسی کنید.

آیا ارزش این همه دردسر را دارد؟

فراموش نکنید که برای راه‌اندازی OpenClawبه اشتراک پولی یک سرویس چت‌بات هوش مصنوعی نیاز است، و تعداد توکن‌ها می‌تواند به راحتی به میلیون‌ها توکن در روز برسد. کاربران گزارش داده‌اند که مدل حجم زیادی از منابع را مصرف می‌کند و بسیاری از آن‌ها این هزینه‌ها را غیرموجه می‌دانند.