أعلنت المنصة مفتوحة المصدر للوكلاء الذكيين الشخصيين الذين يعملون بالذكاء الاصطناعي OpenClaw في 18 مايو عن إصدار v2026.5.18، وتشمل التحديثات الرئيسية تحويل عميل Android إلى جلسات صوتية آنية معتمدة على إعادة الإرسال عبر البوابة، إلى جانب فتح شامل لدعم تكوينات متعددة للنماذج. وفي الوقت نفسه، كشفت شركة أمن البيانات Cyera أن الباحثين وجدوا في OpenClaw أربع ثغرات أمنية قابلة للتسلسل للاستغلال (ويُطلق عليها مجتمعةً «爪鏈»).
التحديثات الرئيسية المؤكدة في الإصدار v2026.5.18
الصوت المباشر على Android: إدخال ميكروفون مُتدفّق + تشغيل صوتي آنٍ + جسر نتائج الأدوات (tool-result bridging) + ترجمات نصية آنية على الشاشة؛ ويمكن لمستخدمي الأجهزة المحمولة تنشيط الوكيل عبر الصوت وتشغيل سلسلة أدوات محلية
الإفراج الشامل عن GPT-5: رفع حظر إعدادات GPT-5.1 وGPT-5.2 وGPT-5.3 وopenai-codex؛ وإزالة فرض اقتطاع اختصار إلزامي على الرد النهائي الخاص بـ GPT-5؛ وتمكين الكتابة التلقائية للسجلات عند التنفيذ الدقيق للوكلاء
واجهة إضافات مبسطة جدًا defineToolPlugin: أدوات سطر أوامر مرافقة لـ openclaw plugins build وvalidate وinit؛ تدعم التصريحات القوية للأنواع وتولّد تلقائيًا manifest ومصانع السياق
مزامنة بدء تشغيل Memory-core على دفعات: عند بدء التشغيل، تُنفَّذ فقط فهرسة تزايدية للملفات الناقصة أو التي طرأ عليها تغيير أو التي تغيّر حجمها، ما يقلّل بشكل كبير زمن بدء التشغيل البارد
ثغرات爪鏈: تفاصيل التأكيد لعدد أربع حالات CVE
نطاق التأثير: تم إصلاح جميع إصدارات OpenClaw قبل 23 أبريل 2026 (v2026.4.22) في الإصدار v2026.4.22 وما بعده.
CVE-2026-44112 (CVSS 9.6، الأكثر خطورة): ثغرة سباق زمنية داخل صندوق حماية OpenShell (TOCTOU) تتيح تعديل ملفات إعداد النظام، وزرع أبواب خلفية، وتحقيق تحكم مستمر على مستوى النظام
CVE-2026-44115 (CVSS 8.8): عيب منطقي يتيح الوصول إلى مفاتيح API والرموز والشهادات والبيانات الحساسة
CVE-2026-44118 (CVSS 7.8): ثغرة تصعيد امتياز ناتجة عن تحقق جلسات غير مناسب
CVE-2026-44113 (CVSS 7.8): ثغرة أخرى من نوع TOCTOU تتيح الوصول غير القانوني إلى ملفات الإعدادات والبيانات اعتماد
سلسلة الهجوم (تأكيد Cyera): يمكن للمهاجمين الحصول على موطئ قدم أولي عبر إضافة مكونات خبيثة أو العبث بالمطالِبات → ثم استغلال ثغرات قراءة/تنفيذ أوامر لجمع بيانات اعتماد → ثم الحصول على تحكم إداري عبر ثغرة تصعيد الامتياز → وزرع باب خلفي لإنشاء وصول مستمر. وتشير Cyera إلى: «تبدو كل خطوة في التدابير الأمنية التقليدية على أنها سلوك طبيعي للوكيل، ما يزيد بشكل ملحوظ من صعوبة الاكتشاف.»
الأسئلة الشائعة
تم إصلاح ثغرات爪鏈، فما الإجراء الذي يحتاجه المستخدمون الحاليون؟
وفقًا لتقرير Cyera، تؤثر الثغرات الأربع في الإصدارات السابقة لـ v2026.4.22، وقد أنجز المطورون عمليات الإصلاح. ينبغي للمستخدمين التأكد من التحديث إلى v2026.4.22 أو إصدار أحدث (بما في ذلك أحدث إصدار v2026.5.18) لإزالة مخاطر الثغرات المذكورة.
لماذا يصبح OpenClaw أكثر قابلية لأن يكون هدفًا لهجمات عالية المخاطر مقارنةً بالبرامج العادية؟
يتطلب OpenClaw وصولًا عالي الثقة إلى النظام، بما في ذلك نظام الملفات وبيئة الطرفية وأدوات التطوير ومنصات الرسائل والتقويمات وواجهات API وأنظمة اتصال أخرى. وأكد Justin Fier أنه نظرًا لأن صلاحيات الوصول الممنوحة للوكيل بحد ذاتها تُعد موثوقة، فإن أي حركة ذات صلة قد تبدو كتصرف طبيعي، كما أن كل خطوة ضمن سلسلة الهجوم يصعب تحديدها بواسطة أدوات المراقبة الأمنية التقليدية.
ما الثغرات الأمنية الأخرى التي سُجلت سابقًا في OpenClaw؟
يحتوي OpenClaw (المعروف سابقًا باسم Clawdbot، ثم تم تغيير اسمه إلى MoltBot، والصادر في نوفمبر 2025) منذ إطلاقه على عدة ثغرات مسجلة، منها: CVE-2026-25253 (سرقة الرموز)، وCVE-2026-24763/25157/25475 (حقن الأوامر وحروف المطالبة)، بالإضافة إلى ثغرة تم الإبلاغ عنها الشهر الماضي في Oasis Security تسمح للمهاجم بالاستحواذ على وكيل ذكاء اصطناعي عبر موقع خبيث.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة مستمدة من مصادر خارجية وهي للمرجعية فقط. لا تمثل هذه المعلومات آراء أو وجهات نظر Gate ولا تشكل أي نصيحة مالية أو استثمارية أو قانونية. ينطوي تداول الأصول الافتراضية على مخاطر عالية. يرجى عدم الاعتماد حصرياً على المعلومات الواردة في هذه الصفحة عند اتخاذ القرارات. لمزيد من التفاصيل، يرجى الرجوع على
إخلاء المسؤولية.
