روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ احتمالاً نام OpenClaw به گوشتان خورده است؛ همان دستیار هوش مصنوعی متنبازی که قبلاً Clawdbot یا Moltbot نام داشت و میتوان آن را روی یک ماشین محلی مستقر کرد. این ابزار به پلتفرمهای محبوب چت مانند واتساپ، تلگرام، سیگنال، دیسکورد و اسلک متصل میشود، از صاحبش دستور میگیرد و در فایلهای محلی به گشتوگذار میپردازد. به تقویم، ایمیل و مرورگر صاحبش دسترسی دارد و حتی میتواند از طریق شل، دستورات سیستمی اجرا کند. از منظر امنیتی، همین توصیف ساده برای ایجاد نگرانی کافی است. اما وقتی افراد سعی میکنند در محیط سازمانی از آن برای کار استفاده کنند، این نگرانی به سرعت به باور به وقوع هرجومرج قطعی تبدیل میشود. برخی کارشناسان، اوپنکلا را بزرگترین تهدید درونسازمانی سال ۲۰۲۶ نامیدهاند.
OpenClaw امکان استفاده از هر مدل زبانی بزرگ محلی یا کلود و طیف گستردهای از یکپارچگیها با سرویسهای دیگر را فراهم میکند. هسته آن، دروازهای است که از طریق برنامههای چت یا رابط کاربری وب، دستورات را دریافت و به عاملهای هوش مصنوعی مناسب هدایت میکند. اولین نسخه آن با نام «کلاودبات» در نوامبر ۲۰۲۵ منتشر شد و تا ژانویه ۲۰۲۶، بهشدت فراگیر شد و انبوهی از مشکلات امنیتی را با خود به همراه آورد. تنها در یک هفته، چندین آسیبپذیری بحرانی افشا شد، مهارتهای مخرب در فهرست مهارتها ظاهر شدند و اطلاعات محرمانه از «مولتبوک» (انجمنی برای باتها) درز کرد. علاوه بر این، شرکت Anthropic برای تغییر نام پروژه به دلیل تشابه با «کلود» اخطار علامت تجاری داد و حساب کاربری پروژه در ایکس نیز برای تبلیغ کلاهبرداریهای ارز دیجیتال هک شد.
مشکلات شناختهشده OpenClaw
اگرچه بهنظر میرسد توسعهدهنده پروژه اهمیت امنیت را درک میکند، اما ازآنجاکه این یک پروژه شخصی است، هیچ منبع اختصاصی برای مدیریت آسیبپذیری یا سایر الزامات امنیتی محصول وجود ندارد.
آسیبپذیریهای OpenClaw
در میان آسیبپذیریهای شناختهشده درOpenClawخطرناکترین آنها CVE-2026-25253 با امتیاز ۸.۸ از ۱۰ است. بهرهبرداری از آن به نفوذ کامل به دروازه منجر میشود و مهاجم میتواند دستورات دلخواه اجرا کند. نکته نگرانکننده این است که انجام این حمله بهطرز عجیبی آسان است: اگر عامل هوش مصنوعی به سایت مهاجم سر بزند یا کاربر روی لینک مخربی کلیک کند، توکن احراز هویت اولیه لو میرود. با داشتن این توکن، مهاجم کنترل کامل مدیریتی دروازه را بهدست میگیرد. این آسیبپذیری در نسخه ۲۰۲۶.۱.۲۹ رفع شد. همچنین دو آسیبپذیری خطرناک تزریق دستور (CVE-2026-24763 و CVE-2026-25157) کشف شدهاند.
تنظیمات پیشفرض ناامن و ویژگیهای مشکلدار
مجموعهای از تنظیمات پیشفرض و نکات اجرایی، حمله به دروازه را بسیار آسان میکند:
- احراز هویت بهطور پیشفرض غیرفعال است، بنابراین دروازه از اینترنت قابل دسترسی است.
- سرور اتصالات WebSocket را بدون بررسی مبدأ میپذیرد.
- اتصالات localhost بهصورت ضمنی قابل اعتماد تلقی میشوند که در صورت اجرای پروکسی معکوس روی میزبان، فاجعهبار خواهد بود.
- چندین ابزار، ازجمله ابزارهای خطرناک، در حالت مهمان قابل دسترسی هستند.
- پارامترهای پیکربندی بحرانی از طریق پیامهای پخشی mDNS در شبکه محلی لو میروند.
ذخیرهسازی اطلاعات محرمانه بهصورتمتنساده
پیکربندی، «حافظه» و گزارشهای چت اوپنکلا، کلیدهای API، رمزهای عبور و سایر اطلاعات ورود به مدلهای زبانی و سرویسهای یکپارچه را بهصورت متن ساده ذخیره میکنند. این یک تهدید بحرانی است؛ بهحدی که نسخههایی از بدافزارهای سرقت اطلاعات RedLine و Lumma با مسیرهای فایل OpenClaw به فهرست اهدافشان اضافه شده است.
مهارتهای مخرب
قابلیتهای OpenClaw را میتوان با «مهارتهای» موجود در مخزن ClawHub گسترش داد. ازآنجاکه هرکسی میتواند یک مهارت بارگذاری کند، طولی نکشید که عاملان تهدید شروع به «بستهبندی» بدافزار سرقت اطلاعات مکاواس AMOS در آپلودهای خود کردند. ظرف مدت کوتاهی، تعداد مهارتهای مخرب به صدها رسید. این موضوع توسعهدهندگان را بر آن داشت تا سریعاً با VirusTotal قراردادی ببندند تا اطمینان حاصل شود تمام مهارتهای بارگذاریشده نهتنها در برابر پایگاههای داده بدافزار بررسی میشوند، بلکه تحت تحلیل کد و محتوا توسط مدلهای زبانی نیز قرار میگیرند. بااینحال، نویسندگان پروژه تأکید میکنند که این راهحل قطعی نیست.
مشکلات ساختاری در عامل هوش مصنوعی OpenClaw
آسیبپذیریها را میتوان ترمیم و تنظیمات را مقاومسازی کرد، اما برخی از مشکلات اوپنکلا در طراحی آن ریشه دارند. این محصول چندین ویژگی حیاتی را ترکیب میکند که در کنار هم بهشدت خطرناک هستند:
- اOpenClaw به دادههای حساس روی ماشین میزبان و حسابهای شخصی صاحبش دسترسی ممتاز دارد.
- این دستیار در برابر دادههای نامعتبر کاملاً باز است: عامل از طریق برنامههای چت و ایمیل پیام دریافت میکند، بهطور خودکار در صفحات وب گشتوگذار میکند و غیره.
- از ناتوانی ذاتی مدلهای زبانی در جداسازی قابلاعتماد دستورات از دادهها رنج میبرد که تزریق سریع را ممکن میکند.
- عامل، نتایج کلیدی و محصولات جانبی کارهایش را برای تأثیرگذاری بر اقدامات آینده ذخیره میکند. این یعنی یک تزریق موفق میتواند حافظه عامل را مسموم کرده و رفتارش را در بلندمدت تحت تأثیر قرار دهد.
- OpenClaw قدرت برقراری ارتباط با دنیای خارج را دارد؛ میتواند ایمیل بفرستد، تماس API بگیرد و از روشهای دیگر برای انتقال دادههای داخلی استفاده کند.
شایان ذکر است که اگرچه OpenClaw نمونهای بسیار افراطی است، این «پنجگانه ترسناک» درواقع مشخصه تقریباً همه عاملهای هوش مصنوعی چندمنظوره است.
خطراتی که OpenClaw میتواند برای سازمانها داشته باشد
اگر کارمندی چنین عاملی را روی یک دستگاه سازمانی نصب کند و آن را حتی به مجموعه سادهای از سرویسها (مثل اسلک و شیرپوینت) متصل کند، ترکیب اجرای خودکار دستورات، دسترسی گسترده به سیستم فایل و مجوزهای بیش از حد OAuth، زمینه را برای نفوذ عمیق به شبکه فراهم میکند. درواقع، عادت این بات به انباشتن اسرار و توکنهای رمزگذارینشده در یک مکان، فاجعهای است که منتظر رخ دادن است، حتی اگر خود عامل هوش مصنوعی هرگز به خطر نیفتد. علاوه بر این، این پیکربندیها الزامات نظارتی در بسیاری از کشورها و صنایع را نقض کرده و منجر به جریمههای احتمالی و شکست در ممیزیها میشود. الزامات نظارتی فعلی، مانند آنچه در قانون هوش مصنوعی اتحادیه اروپا یا چارچوب مدیریت ریسک هوش مصنوعی NIST آمده، بهصراحت کنترل دسترسی سختگیرانه برای عاملهای هوش مصنوعی را الزامی میکنند. رویکرد پیکربندی اوپنکلا بهوضوح از این استانداردها فاصله دارد.
اما نکته مهمتر اینجاست: حتی اگر کارمندان از نصب این نرمافزار روی ماشینهای کاری منع شوند، OpenClaw همچنان میتواند روی دستگاههای شخصی آنها قرار گیرد. این موضوع ریسکهای خاصی برای کل سازمان ایجاد میکند:
- دستگاههای شخصی اغلب حاوی اطلاعات دسترسی به سیستمهای کاری هستند؛ مانند پیکربندی VPN شرکت یا توکنهای مرورگر برای ایمیل و ابزارهای داخلی. این اطلاعات میتوانند برای نفوذ به زیرساخت شرکت ربوده شوند.
- کنترل عامل از طریق برنامههای چت به این معناست که نهتنها کارمند، بلکه عامل هوش مصنوعی او نیز هدف مهندسی اجتماعی قرار میگیرد. تصاحب حساب هوش مصنوعی یا جعل هویت کاربر در چت با همکاران (و سایر کلاهبرداریها) به واقعیت تبدیل میشود. حتی اگر گهگاه در چتهای شخصی درباره کار صحبت شود، اطلاعات موجود در آنها بهراحتی قابل برداشت است.
- اگر یک عامل هوش مصنوعی روی دستگاه شخصی به هر سرویس سازمانی (ایمیل، پیامرسان، ذخیرهساز فایل) متصل شود، مهاجمان میتوانند عامل را برای سرقت اطلاعات دستکاری کنند و این فعالیت برای سیستمهای نظارتی سازمان بهسختی قابل شناسایی خواهد بود.
نحوه شناسایی OpenClaw
بسته به توانایی تیم مرکز عملیات امنیتی SOC) ) در پایش و واکنش، میتوانند تلاشهای اتصال دروازه اوپنکلا را روی دستگاههای شخصی یا ابر ردیابی کنند. همچنین، ترکیب خاصی از نشانههای قرمز میتواند وجود OpenClaw را روی یک دستگاه سازمانی نشان دهد:
- به دنبال دایرکتوریهای `~/.openclaw/`، `~/clawd/` یا `~/.clawdbot` روی ماشینهای میزبان بگردید.
- شبکه را با ابزارهای داخلی یا ابزارهای عمومی مانند Shodan برای شناسایی اثرانگشت HTML پنلهای کنترل کلاودبات اسکن کنید.
- ترافیک WebSocket روی پورتهای ۳۰۰۰ و ۱۸۷۸۹ را پایش کنید.
- مراقب پیامهای پخشی mDNS روی پورت ۵۳۵۳ (مخصوصاً `openclaw-gw.tcp`) باشید.
- به دنبال تلاشهای غیرعادی احراز هویت در سرویسهای سازمانی بگردید؛ مانند ثبتنام شناسه برنامه جدید، رویدادهای رضایت OAuth یا رشتههای عامل کاربر که مختص نود.جیاس و سایر عاملهای کاربر غیراستاندارد هستند.
- به دنبال الگوهای دسترسی معمول برای جمعآوری خودکار داده باشید: خواندن حجم عظیمی از دادهها (خراش دادن تمام فایلها یا ایمیلها) یا اسکن دایرکتوریها در فواصل زمانی مشخص در ساعات غیرکاری.
کنترل هوش مصنوعیِ سایه
مجموعهای از اقدامات بهداشتی امنیتی میتواند بهطور مؤثر ردپای فناوری اطلاعات سایه و هوش مصنوعی سایه را کاهش داده و استقرارOpenClawرا در یک سازمان بسیار دشوارتر کند:
- از فهرست سفید در سطح میزبان استفاده کنید تا فقط برنامهها و یکپارچگیهای ابری تأییدشده نصب شوند. برای محصولاتی که از افزونه پشتیبانی میکنند (مثل افزونههای کروم، پلاگینهای VS Code یا مهارتهای OpenClaw)، فهرست بستهای از افزونههای تأییدشده را پیادهسازی کنید.
- قبل از اتصال هر محصول یا سرویس (از جمله عاملهای هوش مصنوعی) به منابع سازمانی، یک ارزیابی امنیتی کامل از آن انجام دهید.
- با عاملهای هوش مصنوعی همانند الزامات امنیتی سختگیرانهای رفتار کنید که برای سرورهای عمومی در معرض اینترنت و پردازشکننده دادههای حساس سازمانی اعمال میشود.
- اصل کمترین امتیاز را برای همه کاربران و سایر هویتها پیادهسازی کنید.
- بدون نیاز حیاتی تجاری، مجوزهای مدیریتی اعطا نکنید. از همه کاربران دارای مجوزهای بالا بخواهید فقط هنگام انجام وظایف خاص از آنها استفاده کنند، نه اینکه همیشه با حسابهای ممتاز کار کنند.
- سرویسهای سازمانی را طوری پیکربندی کنید که به یکپارچگیهای فنی (مانند برنامههایی که درخواست دسترسی OAuth میکنند) فقط حداقل مجوزهای ضروری اعطا شود.
- بهطور دورهای یکپارچگیها، توکنهای OAuth و مجوزهای اعطاشده به برنامههای طرفسوم را ممیزی کنید. نیاز به این موارد را با مالکان تجاری بررسی کنید، مجوزهای بیش از حد را بهطور پیشگیرانه لغو کرده و یکپارچگیهای راکد را حذف کنید.
استقرار امن هوش مصنوعی عاملمحور
اگر سازمانی اجازه استفاده از عاملهای هوش مصنوعی را بهصورت آزمایشی (مثلاً برای تست توسعه یا پایلوتهای بهرهوری) بدهد، یا اگر موارد استفاده خاصی از هوش مصنوعی برای کارکنان عادی تأیید شده باشد، باید اقدامات نظارتی، ثبت رویداد و کنترل دسترسی قوی پیادهسازی شود:
- عاملها را در یک زیرشبکه ایزوله با قوانین ورود و خروج سختگیرانه مستقر نموده و ارتباطات را فقط به میزبانهای قابل اعتماد مورد نیاز برای انجام وظیفه محدود کنید.
- از توکنهای دسترسی کوتاهمدت با محدوده مجوزهای بهشدت محدود استفاده کنید. هرگز توکنهایی را در اختیار عامل قرار ندهید که به سرورها یا سرویسهای اصلی شرکت دسترسی دارند. در حالت ایدهآل، برای هر تست فردی، حسابهای سرویس اختصاصی ایجاد کنید.
- عامل را از ابزارها و مجموعه دادههای خطرناکی که به وظیفه خاص آن مرتبط نیستند، دور نگه دارید. برای استقرارهای آزمایشی، بهترین روش این است که عامل را با دادههای کاملاً مصنوعی که ساختار دادههای واقعی تولید را تقلید میکنند، تست کنید.
- ثبت رویداد دقیق از اقدامات عامل را پیکربندی کنید. این باید شامل گزارشهای رویداد، پارامترهای خط فرمان و مصنوعات زنجیره تفکر مرتبط با هر دستوری باشد که اجرا میکند.
- سیستم مدیریت اطلاعات و رویدادهای امنیتی SIEM) ) را برای پرچمگذاری فعالیتهای غیرعادی عامل تنظیم کنید. تکنیکها و قوانین مشابهی که برای تشخیص حملات LotL (زندگی از سرزمین) استفاده میشود، در اینجا نیز قابل اعمال است، اگرچه برای تعریف فعالیت عادی برای یک عامل خاص، تلاش بیشتری لازم است.
- اگر از سرورهای MCP و مهارتهای اضافی عامل استفاده میشود، آنها را با ابزارهای امنیتی در حال ظهور برای این وظایف اسکن کنید. بهطور خاص برای تست OpenClaw ، چندین شرکت قبلاً ابزارهای متنبازی برای ممیزی امنیت پیکربندیهای آن منتشر کردهاند.
سیاستهای سازمانی و آموزش کارکنان
ممنوعیت کامل همه ابزارهای هوش مصنوعی رویکردی ساده اما بهندرت ثمربخش است. کارمندان معمولاً راههای جایگزین پیدا میکنند و مشکل را به سایهها میبرند، جایی که کنترل آن حتی دشوارتر میشود. در عوض، بهتر است تعادل معقولی بین بهرهوری و امنیت پیدا کنید.
- سیاستهای شفاف در مورد استفاده از هوش مصنوعی عاملمحور پیادهسازی کنید. مشخص کنید کدام دسته از دادهها برای پردازش توسط سرویسهای هوش مصنوعی خارجی مجاز هستند و کدامها اکیداً ممنوع. کارمندان باید دلیل ممنوعیت چیزی را درک کنند. یک سیاست از نوع «بله، اما با محافظکننده» همیشه بهتر از یک «نه» مطلق دریافت میشود.
- با مثالهای واقعی آموزش دهید. هشدارهای انتزاعی درباره «ریسک نشت» معمولاً بیفایده هستند. بهتر است نشان دهید چگونه یک عامل با دسترسی ایمیل میتواند صرفاً به درخواست یک ایمیل تصادفی، پیامهای محرمانه را ارسال کند. وقتی تهدید واقعی به نظر برسد، انگیزه برای پیروی از قوانین نیز افزایش مییابد. در حالت ایدهآل، کارمندان باید یک دوره آموزشی فشرده کوتاه درباره امنیت هوش مصنوعی بگذرانند.
- جایگزینهای امن ارائه دهید. اگر کارمندان به دستیار هوش مصنوعی نیاز دارند، ابزاری تأییدشده با مدیریت متمرکز، ثبت رویداد و کنترل دسترسی OAuth در اختیارشان بگذارید.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
