هشدار مایکروسافت: از اجرای OpenClaw روی سیستم‌های شخصی و سازمانی خودداری کنید

📌 تکنولوژی ⏱ 2026/02/25
اشتراک‌گذاری سریع
تلگرام واتساپ X کپی لینک

محققان امنیتی مایکروسافت اعلام کرده‌اند که اجرای دستیار هوش مصنوعی OpenClaw بر روی کامپیوترهای شخصی و سازمانی می‌تواند بسیار خطرناک باشد. این سیستم به دلیل دسترسی به اطلاعات حساس و امکان اجرای بی‌سر و صدای کدهای مخرب، کاربران را در معرض خطرات جدی و سرقت اطلاعات قرار می‌دهد.

تصویر خبر

خطرات OpenClaw

OpenClaw برای انجام خودکار وظایف طراحی شده و به کاربران دسترسی‌های وسیعی مانند ایمیل‌ها، حساب‌های آنلاین و فایل‌های محلی می‌دهد. خطر اصلی زمانی نمایان می‌شود که اوپن‌کلاو قابلیت‌های جدیدی (به نام مهارت یا Skill) را از منابع عمومی دانلود می‌کند. این ابزار اعتبارنامه‌ها و توکن‌های ورود را در حافظه‌اش نگه‌داری می‌کند و می‌تواند بدون نیاز به تأیید مجدد، در پس‌زمینه سیستم به فعالیت‌های مخرب یا سرقت اطلاعات بپردازد.

تصویر خبر

نحوه نفوذ هکرها

محققان مایکروسافت توضیح می‌دهند که نرم‌افزارهای معمولی کدهای مشخصی را اجرا می‌کنند، اما اوپن‌کلاو دائماً در حال تغییر وضعیت کاری‌اش است. حافظه و تنظیمات این ایجنت تحت تأثیر محتوایی که می‌خواند قرار می‌گیرد. تغییرات از طریق API انجام می‌شود، به‌طوری که آنتی‌ویروس‌ها و سیستم‌های حفاظتی نمی‌توانند نفوذ یا تغییرات پیکربندی را شناسایی کنند. در واقع، هکرها به جای ارسال بدافزارهای مشخص، پرامپت‌های مخرب را به‌صورت متن یا مهارت‌های جدید پنهان می‌کنند و با ایجاد یک روند خودکار، کنترل سیستم را به دست می‌گیرند.

چرخه نفوذ هکرها

مایکروسافت یک چرخه نفوذ پنج مرحله‌ای را برای این نوع حملات تعریف کرده است:

  • انتشار یک مهارت مسموم در پلتفرم ClawHub توسط هکر
  • نصب این مهارت توسط کاربر یا خود ایجنت
  • دسترسی هکر به وضعیت ایجنت (شامل توکن‌ها و رمزهای عبور)
  • سرقت اطلاعات حساس با استفاده از این دسترسی‌های مجاز
  • ایجاد تغییرات دائمی در تنظیمات به‌منظور تثبیت حضور هکر در سیستم

توصیه‌های مایکروسافت

مایکروسافت پیشنهاد می‌کند که این هوش مصنوعی تنها در یک محیط کاملاً ایزوله (مانند ماشین مجازی) و با استفاده از حساب‌های کاربری محدود و غیرحساس اجرا شود. این شرکت به‌طور اکید توصیه می‌کند که از اجرای OpenClaw با حساب‌های اصلی کاری یا شخصی خودداری شود. در صورتی که سازمان شما مجبور به ارزیابی و استفاده از این ابزار است، لازم است استانداردهای امنیتی را رعایت کنید.

در کل، مایکروسافت پنج راهکار اساسی را برای کاهش خطرات OpenClaw ارائه می‌دهد:

  • اجرای برنامه تنها در یک ماشین مجازی اختصاصی یا سیستم فیزیکی مجزا
  • استفاده از اعتبارنامه‌ها، رمزهای عبور و توکن‌های اختصاصی که به داده‌های حساس دسترسی ندارند
  • نظارت مستمر بر وضعیت و حافظه ایجنت برای شناسایی رفتارهای غیرعادی و منابع ناشناس
  • تهیه نسخه پشتیبان (بک‌آپ) از وضعیت کاری بدون ذخیره‌کردن توکن‌ها و رمزهای عبور
  • بازسازی و نصب مجدد و مداوم سیستم برای جلوگیری از نفوذهای پنهان و تغییرات دائمی در پیکربندی