في العامين الماضيين، لم يعد مصطلح "الوكيل الذكي" مجرد عبارة تسويقية، بل أصبح جزءًا لا يتجزأ من سير العمل الحقيقي: مساعد قادر على قراءة ملفاتك، وفتح متصفحك، وتنفيذ الأوامر، وربط الإجراءات عبر مختلف الخدمات. هذا هو الوعد.
المشكلة هي أنللكهرباء قناة توزيعويُطلق على تلك القناة بشكل متزايد اسممهارةحزمة صغيرة قابلة للمشاركة تُعلّم الوكيل (وأحيانًا المستخدم) كيفية إنجاز مهمة ما. إنها لحظة متاجر التطبيقات للوكلاء - باستثناء أن "التطبيقات" غالبًا ما تكونتعليمات التنسيق.
تُعدّ تقارير هذا الأسبوع حول مهارات OpenClaw الخبيثة إشارة مبكرة وقوية للغاية إلى أننا على وشك تكرار تاريخ سلاسل التوريد مفتوحة المصدر، ولكن مع اختلاف: فبدلاً من تسميم تبعية مُجمّعة، يمكن للمهاجمين تسميمها.الوثائقواستخدم مساعدة الوكيل كعامل مساعد.
فيما يلي شرح عملي لما حدث، ولماذا يعمل بشكل جيد للغاية، وما يمكنك فعله حيال ذلك.
ما هي مهارات OpenClaw (ولماذا هي مهمة)
لقد شاع استخدام نموذج الإضافة البسيط في OpenClaw: قم بإضافة "مهارة" تشرح كيفية القيام بمهمة محددة - النشر على وسائل التواصل الاجتماعي، وتنظيف المجلدات، وتلخيص تقرير، وأتمتة سير العمل - وبذلك يكتسب الوكيل قدرة جديدة.
في النظام البيئي الأوسع لـ "مهارات الوكيل"، عادةً ما تكون المهارة عبارة عن مجلد مبني حولSKILL.mdملف. يحتوي هذا الملف على:
- البيانات الوصفية(الاسم / الوصف)
- تعليمات(الخطوات الفعلية)
- اختياري:البرامج النصيةوغيرها من الأصول المجمعة
يبدو هذا الأمر غير ضار لأنه يبدو كوثيقة. لكن الوثائق هي بالضبط ما يتبعه الناس بسرعة، خاصةً عندما تبدو كقائمة متطلبات مسبقة أو دليل تثبيت.
تتسم المهارات أيضاً بديناميكية "الفائز يستحوذ على كل شيء": ينجذب الناس إلى ما هو شائع، وما هو جديد، وما يبدو أنه سيوفر الوقت. وهذا ما يجعل سوق المهارات العامة هدفاً قيماً للغاية: فبمجرد التنازل عن بعض التطبيقات الأكثر تحميلاً، يمكنك الوصول إلى مجموعة مركزة من المستخدمين المتميزين - المطورين، والمشغلين، وأي شخص لديه مؤهلات قيّمة مخزنة على جهازه.
الحيلة الأساسية: لم يعد Markdown "محتوى" - بل أصبح برنامج تثبيت
غالباً ما تتطلب هجمات سلسلة توريد البرامج التقليدية استثماراً تقنياً: الارتباك في التبعيات، والتلاعب بالأسماء، والبرامج النصية الخبيثة التي يتم تثبيتها بعد التثبيت، والحفاظ على التحكم في اسم الحزمة، وتجنب الماسحات الضوئية.
إن سوق المهارات يخفض مستوى التحدي.
يمكن لمهارة خبيثة أن تفعل شيئًا بسيطًا كهذا:
- قدم أداة معقولة ("مهارة تويتر"، "متتبع العملات المشفرة"، "مساعد الأتمتة").
- أضف قسم "المتطلبات الأساسية" مع "التبعية المطلوبة".
- قم بتوفير رابط مناسب وأمر من سطر واحد.
- الاعتماد على الإنسان (أو الوكيل) لتنفيذ ذلك.
ليست هذه فكرة جديدة في الهندسة الاجتماعية - فقد تم استخدامها لسنوات - ولكن سير عمل الوكلاءأسهبهو - هي:
- يلخص العملاء الوثائق بثقة ("ما عليك سوى تشغيل هذا لتثبيت التبعية").
- تعمل البرامج المساعدة على تقليل الاحتكاك من خلال إنشاء الأمر نيابةً عنك.
- في بعض الإعدادات، يمكن للوكلاء تشغيل أوامر النظام بأنفسهم.
عند هذه النقطة، تصبح "التوثيق" مسار تنفيذ بعيد.
ما الذي تشير إليه التقارير بشأن ما حدث في بيئة OpenClaw؟
تصف العديد من التقارير حملة قام فيها المهاجمون بتحميل أعداد كبيرة من المهارات الخبيثة إلى سوق ClawHub واستخدموا "خطوات الإعداد" لتوصيل البرامج الضارة لسرقة المعلومات.
وفقًا لجيسون ميلر من شركة 1Password، تضمنت إحدى المهارات الأكثر تنزيلًا تعليمات توجه المستخدمين إلى سلسلة تسليم مرحلية: رابط إلى "تبعية"، وأمر مبهم، ثم حمولة تقوم في النهاية بتثبيت برنامج لسرقة المعلومات مصمم لنهب الجهاز للحصول على أسرار قيمة.
يصف موقع CyberInsider، نقلاً عن بحث أجرته شركة Koi Security، نمطًا مشابهًا على نطاق واسع: مهارات مخترقة ببرامج ضارة مع "متطلبات مسبقة" توجه المستخدمين لتشغيل نصوص برمجية مشوشة أو تنزيل أرشيفات محمية بكلمة مرور، مما يؤدي إلى حمولات مثل Atomic macOS Stealer (AMOS) - وهي عائلة من البرامج الضارة المرتبطة بسرقة بيانات الاعتماد واستهداف المحافظ الإلكترونية.
بغض النظر عن اختلاف الأعداد الدقيقة بين التقارير،شكلمتسق:
- المهارات المستخدمة في التوزيع
- تُستخدم تعليمات "المتطلبات الأساسية" كوسيلة للإقناع
- يُستخدم سارقو المعلومات كهدف نهائي
هذا الهدف النهائي مهم: فمجرمو سرقة المعلومات المعاصرون لا يسعون وراء كلمة مرور واحدة، بل يسعون وراءرموز الجلسة،ملفات تعريف المتصفح،مفاتيح SSH،بيانات اعتماد السحابة، ومحافظ العملات المشفرةبمعنى آخر: الأشياء التي تحول جهاز كمبيوتر محمول واحد مخترق إلى اختراق أوسع.
لماذا يجعل العملاء هذا الأمر أسوأ من رابط التنزيل الاحتيالي العادي؟
إذا فكرت يوماً، "لن أنخدع بذلك"، فربما تكون محقاً عندما تكون هادئاً ومتشككاً.
لكن سير عمل الوكلاء يغير السياق:
- تصبح السرعة هي الوضع الافتراضي.أنت تستخدم وكيلًا لأنك تريد التحرك بسرعة.
- يتم الاستعانة بمصادر خارجية لتحمل العبء المعرفي.يحوّل الوكيل صفحة التعليمات الفوضوية إلى قائمة تحقق واثقة.
- السلطة مستعارة.إذا قال الوكيل "هذا هو الشرط القياسي"، فإنه يبدو وكأنه تم التحقق منه.
بمعنى آخر: لا يحتاج البرنامج إلى "خداع" بالمعنى التقني. يكفي أن يكون حاضرًا أثناء حثّك على القيام بأمر محفوف بالمخاطر. هذا كافٍ لتغيير سلوكك.
وإذا كنتيفعلإذا سمح البرنامج الوكيل بتشغيل الأوامر مباشرة، فقد تصبح المهارة الخبيثة "اختراقًا بدون استخدام اليدين".
"ولكن ماذا عن MCP؟ أليس من المفترض أن يجعل ذلك الأدوات أكثر أمانًا؟"
يُعد بروتوكول سياق النموذج (MCP) خطوة حقيقية إلى الأمام في هيكلة الوصول إلى الأدوات. فهو يُوحّد كيفية عرض المضيفين للأدوات والموارد والمطالبات، ويؤكد على موافقة المستخدم وتحكمه.
ومع ذلك، فإن نظام MCP لا يجعل "المهارات" آمنة بشكل سحري.
لماذا؟
- يمكن للمهارات أن توجه المستخدمين لتشغيل الأوامر خارج حدود MCP.
- يمكن ربط المهارات ببرامج نصية أو تنزيلات لا تتصل أبدًا بـ MCP.
- لا تستخدم كل المهارات نظام MCP على الإطلاق.
يمكن أن يساعد بروتوكول MCP عندما يطبق المضيف نظام أذونات قوي، وطلبات موافقة واضحة، وتسجيلًا للأحداث، وإعدادات افتراضية آمنة. لكن آلية التوزيع القائمة على لغة Markdown لا تزال قادرة على تجاوز ذلك من خلال أساليب الهندسة الاجتماعية التقليدية.
هذا هو الإصدار الخاص بالوكلاء لأمن سلسلة التوريد (وقد مررنا بهذا من قبل).
لقد تعلم عالم البرمجيات بالطريقة الصعبة ما يلي:
- تتعرض السجلات الشائعة للإساءة.
- يُجدي انتحال صفة كاتبٍ ما.
- "قم بتثبيت هذه الأداة المساعدة" هي نقطة دخول شائعة.
- أكثر الضحايا قيمة هم أولئك الذين يبنون الأشياء.
تجمع منصات تنمية المهارات بين تلك الدروس وعاملين جديدين مسرّعين:
- يمكن أن تكون "الحزمة" عبارة عن تعليمات، وليس الكود - والتعليمات يصعب مسحها ضوئياً بشكل موثوق.
- بيئة التشغيل غنية ببيانات الاعتمادبحسب التصميم: متصفحات مسجلة الدخول إلى كل شيء، وأجهزة طرفية مزودة بمفاتيح SSH، وواجهات سطر أوامر سحابية، وبرامج إدارة كلمات المرور، وملفات محلية.
بمعنى ما، سوق المهارات هو متجر تطبيقات حيث يُسمح لأفضل التطبيقات أن تقول "انسخ هذا والصقه في Terminal لتفعيل الميزة". هذه ليست مشكلة قابلة للحل بمجرد تحديد خانة اختيار واحدة.
وسائل الحماية العملية (للمستخدمين العاديين)
إذا كنت تجرّب برنامجًا لديه إمكانية الوصول المحلي، فأنت بحاجة إلى التعامل معه كمستخدم جديد لنظام التشغيل يتمتع بقدرات خارقة.
إليكم الأساس العملي:
- استخدم جهازًا مخصصًا أو جهازًا افتراضيًالتجارب الوكلاء. لا توجد بيانات تسجيل دخول محفوظة للشركات. لا توجد مفاتيح SSH للإنتاج. لا توجد جلسات إدارة سحابية.
- يتم ضبط الخيار الافتراضي على "لا" في برامج التثبيت ذات السطر الواحد.وخاصة أي شيء يقوم بتوجيه curl إلى sh، أو يستخدم base64، أو يطلب منك إزالة حمايات نظام التشغيل.
- لا تثق بـ "الأكثر تنزيلاً".الشعبية هي وسيلة للنمو السريع، وليست نموذجاً أمنياً.
- قم بتدوير ما يهم أولاً إذا كنت قد قمت بتشغيل شيء ما بالفعل.جلسات المتصفح، مفاتيح SSH، رموز API، مفاتيح السحابة.
- يفضل امتلاك مهارات تخضع للتحكم في المصدر وقابلة للمراجعة(مستودعات Git ذات تاريخ، ومطورين معروفين، وأصل واضح).
ما الذي ينبغي على الأسواق الإلكترونية فعله (إذا أرادت البقاء)؟
إذا كنت تدير سجل مهارات عام، فأنت تدير سطحًا للهجوم.
بعض الخطوات العملية التي تزيد بشكل ملحوظ من تكلفة المهاجم:
- سمعة الناشر ومصدره(هويات موثقة، تاريخ، توقيع).
- المسح الآليبالنسبة للأنماط المشبوهة (الحمولات المشفرة، والأسطر البرمجية المبهمة، وإزالة الحجر الصحي، والأرشيفات المحمية بكلمة مرور، و"تثبيت التبعية الأساسية" مع روابط خارجية).
- تحذير: احتكاك واجهة المستخدمللروابط الخارجية وأوامر سطر الأوامر.
- إزالة سريعة واستجابة واضحة للحوادث(تعامل معه كمتجر تطبيقات، وليس كموقع مشاركة النصوص).
لا شيء من هذه الحلول مثالي، لكنها تمنح الوقت - والوقت هو ما يحتاجه المدافعون.
ما الذي ينبغي على مطوري برامج الوكلاء افتراضه في المستقبل؟
إذا كنت تقوم ببناء وقت تشغيل الوكيل نفسه، فافترض أن المهارات ستُستخدم كسلاح.
وهذا يعني:
- تنفيذ أمر الرفض الافتراضي(يتطلب موافقة لكل أمر، وليس عمليات تبديل لمرة واحدة وإلى الأبد).
- بيئة اختبار قويةللوصول إلى نظام الملفات والمتصفح.
- أذونات محددة النطاق والمدةمع إمكانية الإلغاء بسهولة.
- سجلات قابلة للتدقيقما قرأه العميل وما نفذه.
إن النتيجة النهائية هي نفس الاتجاه الذي اتخذته الحوسبة السحابية منذ سنوات: الهوية، والسياسة، وأقل الامتيازات، وسجلات التدقيق - ولكن تم نقلها إلى مستوى محطة العمل.
خلاصة القول
قصة مهارات OpenClaw ليست مجرد "بعض الأشخاص قاموا بتحميل برامج ضارة". إنها بمثابة معاينة لساحة معركة سلسلة التوريد القادمة:المهارات كأداة للتوزيع، و Markdown كمسار للتنفيذ، والوكلاء كمسرّع.
إذا كان من المقرر أن تعمل البرامج الآلية على أجهزتنا الشخصية وأجهزة العمل، فإن النظام البيئي يحتاج إلى طبقة ثقة تعامل أسواق المهارات مثل متاجر التطبيقات، وتعامل الوثائق مثل التعليمات البرمجية، وتعامل "الأتمتة المفيدة" كعملية مميزة - وليست مجرد تسهيلات عادية.
مصادر
- https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
- https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
- https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
- https://agentskills.io/what-are-skills
- https://modelcontextprotocol.io/specification/2025-06-18