Slow Mist: ClawHub 存在後門植入風險，21% 百大 Skills 被列高危 (Note: This text is already in Traditional Chinese and appears to be a headline. Since you requested translation to Arabic and this is already in the target language's context, but actually it's in Chinese, here's the Arabic translation:) سلو ميست: ClawHub يحتوي على خطر زراعة backdoor، 21% من أكثر 100 مهارة مدرجة كعالية الخطورة

تحذير علني من قبل كبير مسؤولي أمن المعلومات في شركة Slow Mist، 23pds، حيث أشار إلى أن اعتماد ClawHub على تسجيل الدخول بنقرة واحدة عبر GitHub قد يُستخدم من قبل فيروسات الدودة لسرقة شهادات المطورين، مما يسمح لهم بانتحال شخصية المطورين ونشر Skills خبيثة، وتنفيذ هجمات على سلسلة التوريد. وفي الوقت نفسه، قامت شركة GoPlus بإجراء فحص أمني كامل لأكثر 100 Skill تم تحميلها من قبل ClawHub، والتي تعتبر الأعلى تحميلًا، وأظهرت النتائج أن 21% منها عالية الخطورة و17% تتطلب تحذيرات.

التحليل الكامل لمسار الهجوم: من شهادات GitHub إلى اختراق النظام

وضحت شركة Slow Mist في إعلانها المسار الكامل لهذا الهجوم المحتمل، لمساعدة المطورين والمستخدمين على فهم الآلية الحقيقية للتهديد:

سرقة الشهادات: سرقة شهادات تسجيل الدخول إلى GitHub باستخدام فيروسات الدودة مثل Sha1-Hulud أو هجمات التصيد

الحصول على صلاحيات GitHub: يستخدم المهاجمون الشهادات المسروقة لتسجيل الدخول إلى حسابات GitHub المستهدفة

انتحال شخصية المطور وتسجيل الدخول إلى ClawHub: نظرًا لاعتماد ClawHub على تفويض بنقرة واحدة عبر GitHub، يمكن للمهاجمين الدخول مباشرة إلى المنصة باسم المطورين الشرعيين

نشر Skills خبيثة: تحت اسم المطورين المتضررين، يتم رفع Skills تحتوي على باب خلفي، ويصعب تمييزها عن Skills العادية من الخارج

تثبيت وتنفيذ المستخدمين: يقوم المستخدمون غير المدركين بتحميل وتنفيذ هذه Skills، مما يطلق أكواد خبيثة

اختراق النظام: يحصل المهاجمون على صلاحيات الوصول إلى أجهزة المستخدمين، مما قد يؤدي إلى سرقة البيانات أو السيطرة عن بعد، وغيرها من العواقب الخطيرة

خطورة هذا التسلسل الهجومي تكمن في أن كل مرحلة منه تتمتع بمستوى عالٍ من التمويه، بحيث يكاد يكون من المستحيل على المستخدمين تمييز ما إذا كانت Skills قد تم التلاعب بها بشكل خبيث من خلال المظهر الخارجي فقط.

نتائج فحص GoPlus: توزيع الأمان بين أكبر 100 Skill

في 12 مارس، أصدرت شركة GoPlus تقرير فحص أمني شامل لأكثر 100 Skill تم تحميلها من قبل ClawHub بشكل متكرر، موفرة بيانات كمية أكثر منهجية للمخاطر:

21% تم حظرها (Blocked): تحتوي على عمليات عالية الخطورة واضحة، مثل الاختراق المباشر للشبكة، استدعاءات API الحساسة، والإرسال التلقائي للمعلومات

17% تحذير (Warning): تحمل مخاطر محتملة، ويُنصح المستخدمون الذين يتطلبون مستوى عالٍ من الأمان بعدم تنفيذها إلا بحذر

62% تم الموافقة عليها: لم يتم اكتشاف مشاكل واضحة في باقي Skills ضمن نطاق الفحص الحالي

توصي شركة GoPlus بفرض آلية “الإنسان في الحلقة (HITL)” للمراجعة اليدوية على Skills ذات العمليات عالية الخطورة، بحيث يتم التدخل قبل تنفيذ العمليات الحساسة، وليس بعد وقوع الضرر.

الجدل حول SkillHub من Tencent: جمع البيانات على نطاق واسع يثير قضايا حقوق النشر والدعم

وفي ظل تصاعد التحذيرات الأمنية، أثارت مبادرة Tencent ردود فعل أخرى داخل بيئة ClawHub. أطلقت Tencent مجتمع SkillHub المبني على منصة OpenClaw المفتوحة المصدر، والذي يهدف إلى أن يكون منصة توزيع Skills محلية للمطورين في الصين. ومع ذلك، انتقد مؤسس OpenClaw، بيتر ستاينبرغر، هذه الخطوة بعد أن علم بالأمر، حيث قال إنه تلقى رسائل شكوى تفيد بأن Tencent قامت بجمع جميع Skills الموجودة على ClawHub ودمجتها في منصتها بسرعة تجاوزت الحد المسموح به، مما أدى إلى تفعيل قيود المعدل الرسمية. وقال ستاينبرغر بصراحة: “لقد قاموا بالنسخ، لكنهم لم يدعموا هذا المشروع.”

ردت شركة Tencent الرسمية على ذلك، موضحة أن SkillHub تعمل كموقع مرآة، مع وضع علامة على المصدر الأصلي على أنها ClawHub، وأكدت أن الهدف من المنصة هو توفير تجربة وصول أكثر استقرارًا وسرعة للمستخدمين في الصين. وأشارت إلى أن أول أسبوع من تشغيل المنصة شهد معالجة حوالي 180 جيجابايت من حركة التنزيل (870,000 عملية تنزيل)، لكن البيانات التي تم سحبها من المصدر الرسمي كانت حوالي 1 جيجابايت فقط، مع تأكيد أن العديد من أعضاء فريق Tencent قد ساهموا في تطوير الكود للمشاريع المفتوحة المصدر ذات الصلة، ويأملون في دعم تطور البيئة بشكل مستمر.

الأسئلة الشائعة

كيف يمكن لمستخدمي ClawHub حماية أنفسهم من Skills الخبيثة؟
ينصح باتباع الإجراءات التالية: تثبيت Skills التي تم مراجعتها واعتمادها من قبل جهات أمنية مثل GoPlus أولاً؛ الحذر عند استخدام Skills التي تطلب الوصول إلى ملفات النظام، أو الاتصال بالشبكة، أو استدعاءات API النظام؛ متابعة تقييمات وتحميلات Skills، لكن لا تعتمد عليها وحدها كمعيار أمني؛ تحديث Skills بشكل دوري ومتابعة إعلانات الأمان على المنصة؛ والأهم، تفعيل ميزة “المراجعة البشرية (HITL)” قبل تنفيذ العمليات عالية الخطورة.

هل يجب أن تتغير طريقة تسجيل الدخول إلى ClawHub من الاعتماد على GitHub إلى طرق أخرى؟
من منظور الأمان، فإن الاعتماد على موفر OAuth واحد (مثل GitHub) يشكل خطر نقطة فشل واحدة — فبمجرد تسريب شهادات GitHub، يصبح حساب ClawHub عرضة للاختراق. الحلول الأكثر أمانًا تشمل: إدخال التحقق متعدد العوامل (MFA)، السماح بإنشاء حسابات مستقلة، أو إضافة طبقة تحقق إضافية يدوية أو آلية عند نشر Skills. هذه تعتبر من الاتجاهات التي يجب أن يواصل المنصات تحسينها لتعزيز ثقة المطورين.

هل تتعارض ممارسات SkillHub من Tencent مع اتفاقيات المصادر المفتوحة؟
ذلك يعتمد على شروط الترخيص الخاصة بـ OpenClaw وClawHub. استخدام منصة مرآة ووضع علامة على المصدر الأصلي يعتبر مبررًا للاستخدام المعقول، لكن الانتقادات التي وجهها ستاينبرغر تتعلق أكثر بالمبادئ الأخلاقية لدعم البيئة — إذ أن استخدام نتائج المجتمع المفتوح بدون تقديم دعم حقيقي للمشاريع أو دعم تجاري يثير تساؤلات. وغالبًا ما يُحل هذا النوع من النزاعات عبر تحديد شروط ترخيص واضحة واتفاقيات تعاون تجارية مناسبة.