كشف الباحثون من شركة CertiK، وهي جهة معروفة بأمان البلوكشين، مؤخرًا عن ثغرة أمنية حاسمة في شبكات الوكيل الذكي (AI agent) الأحدث. لذلك، يحذر التقرير الجديد من قبل الباحث الرئيسي في CertiK، Guanxing Wen، من أن مجرد فحص المهارات غير كافٍ لضمان السلامة.
عمل ممتاز من قبل باحث الأمان لدينا Guanxing Wen (@hhj4ck) يسلط الضوء على فجوة مهمة في أمان الوكيل الذكي. مهارات الفحص أو نوافذ التحذير ليست كافية—بدون أذونات تشغيل مناسبة وعزل بيئي، يمكن لعملية مراجعة واحدة غير مكتملة أن تعرض المضيف بأكمله للخطر.
— CertiK (@CertiK) 16 مارس 2026
كما ذكرت CertiK في بيانها الصحفي الرسمي، يمكن لمهارة طرف ثالث شرعية أن تتجاوز فحوصات الرقابة على منصة OpenClaw. كانت المهارة الخبيثة قادرة حتى على تنفيذ أوامر عشوائية عبر نظام المضيف، بغض النظر عن اجتيازها لمختلف طبقات المراجعة.
تكشف CertiK عن نقص في نظام اكتشاف ومراجعة المهارات الذكية في تأمين أسواق الوكيل الذكي (AI agent)
كما يكشف تحليل CertiK، أن سوق الوكيل الذكي Clawhub الخاص بـ OpenClaw يعتمد على خط أنابيب متعدد الطبقات من المراجعات، بما في ذلك فحص الكود غير القابل للتغيير، والإشراف بقيادة الذكاء الاصطناعي، وفحوصات VirusTotal. على الرغم من أن هذه الآليات تركز على تحديد السلوك الخبيث، إلا أن باحثي CertiK وجدوا أن المنطق المنظم بشكل حذر والتعديلات الدقيقة على الكود يمكن أن تتجاوز بسهولة الكشف.
في عدة حالات، قد تحتوي المهارات التي تبدو غير ضارة أثناء عملية التثبيت على ثغرات قابلة للتلاعب مخفية داخل سير العمل الطبيعي. تؤكد الدراسة على القيود الجوهرية لطرق الكشف الثابتة.
تمامًا مثل أدوات الأمن السيبراني التقليدية مثل جدران حماية تطبيقات الويب أو برامج مكافحة الفيروسات، يمكن تجاوز التعرف على الأنماط من خلال تغييرات طفيفة في بنية الكود. بالإضافة إلى ذلك، على الرغم من أن الإشراف بواسطة الذكاء الاصطناعي يعزز الكشف من خلال تحليل التناقضات والنوايا، إلا أنه لا يزال يعاني من نقص في اكتشاف الثغرات المتكاملة بشكل عميق.
منصة أمان البلوكشين توصي بالأمان القائم على وقت التشغيل وعزل المهارات المقاوم
وفقًا لـ CertiK، كشفت إثبات المفهوم الخاص بها عن خلل في معالجة التدقيقات الأمنية المعلقة. على وجه التحديد، يمكن أن تصبح المهارات قابلة للتثبيت بشكل علني ومتاحة حتى عندما تظهر نتائج VirusTotal غير مكتملة.
بالنظر إلى ذلك، يشجع دراسة CertiK على تعزيز الكشف بدلاً من الاعتماد على تحذيرات المستخدمين ومراجعات السوق. ونتيجة لذلك، بدون حماية قوية أثناء وقت التشغيل، يمكن لثغرة واحدة فقط أن تؤدي إلى اختراق بيئة المضيف بأكملها.
وسط النمو الأوسع لنظام بيئة الذكاء الاصطناعي، تدفع CertiK نحو اعتماد أطر أمان تعتمد على وقت التشغيل، وعزل المهارات من طرف ثالث بشكل محسن، وتطبيق ضوابط صارمة للأذونات. لذلك، ستعتمد الأمان الشامل على إنشاء آليات تفترض أن بعض التهديدات قد تتجاوز المراجعة لضمان احتوائها قبل أن تتسبب في ضرر.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
