قبل أيام قليلة، كان Clawdbot أحد أكثر المشاريع مفتوحة المصدر شهرة على GitHub، حيث حصل على أكثر من 80,000 نجمة. إنه مشروع هندسي مذهل يتيح لك تشغيل مساعد ذكي محلياً مع وصول كامل إلى نظامك عبر تطبيقات المراسلة مثل واتساب وتيليجرام وديسكورد.
من الشهرة إلى المشاكل القانونية والأمنية
اليوم، أُجبر المشروع على تغيير اسمه بسبب نزاع قانوني، وتعرض للاستيلاء عليه من قبل محتالي العملات الرقمية، وارتبط بعملة وهمية وصلت قيمتها السوقية إلى 16 مليون دولار قبل أن تنهار، وتلقى انتقادات من الباحثين الأمنيين الذين وجدوا بوابات مكشوفة وبيانات دخول يمكن الوصول إليها.
بدأت المشكلة عندما أرسلت شركة Anthropic، التي تقدم النماذج الذكية التي يعمل عليها Clawdbot، إنذاراً لمؤسس المشروع بيتر شتاينبيرجر بسبب تشابه الاسم “Clawd” مع اسم نموذجها الذكي “Claude”.
الفجوة التي استغلها المحتالون
أعلن شتاينبيرجر تغيير اسم المشروع من Clawdbot إلى Moltbot. وافق المجتمع على التغيير. لكن، في الفجوة الزمنية القصيرة بين التخلي عن حسابات المشروع القديمة وتأمين الحسابات الجديدة، استولى محتالو العملات الرقمية على الحسابات.
بدأت الحسابات المخترقة على الفور الترويج لعملة وهمية تسمى CLAWD على شبكة سولانا. خلال ساعات، دفعت المضاربات قيمتها السوقية لتتجاوز 16 مليون دولار.
أنكر شتاينبيرجر أي علاقة له بهذه العملة، مما أدى إلى انهيار قيمتها وخسارة الكثيرين. وتعرض للمضايقة من قبل بعض المضاربين الذين ألقوا باللوم عليه في خسائرهم.
ثغرات أمنية خطيرة تكتشف
بالتوازي مع هذه الفوضى، قرر باحثون أمنيون فحص المشروع، واكتشفوا مئات النسخ المكشوفة من Clawdbot على الإنترنت العام دون أي حماية. وهذا يعني أن المستخدمين منحوا الصلاحيات للذكاء الاصطناعي دون رقابة، مما يسمح للمخترقين باستغلالها بسهولة.
وجد الباحثون أن نظام المصادقة في Clawdbot يوافق تلقائياً على الاتصالات القادمة من الجهاز المحلي للمستخدم. وعندما يقوم المستخدمون بتشغيل البرنامج خلف خادم وسيط، تبدو جميع الاتصالات وكأنها قادمة من الجهاز المحلي ويتم الموافقة عليها تلقائياً، حتى لو كانت قادمة من الخارج.
وحذرت شركة SlowMist المتخصصة في أمن البلوكشين من أن عدة ثغرات في الكود يمكن أن تؤدي إلى سرقة بيانات الدخول وحتى تنفيذ أوامر عن بُعد على الجهاز. وأظهر الباحثون هجمات يمكنها خداع نسخة الذكاء الاصطناعي لإرسال الرسائل الخاصة إلى المهاجم في دقائق معدودة.
مستقبل المشروع والتحديات
الخبر السار لمحبي ومطوري الذكاء الاصطناعي هو أن المشروع نفسه لم يمت. برنامج Moltbot هو نفسه برنامج Clawdbot السابق. الكود قوي، ولكن استخدامه ليس سهلاً للمبتدئين. حالات الاستخدام حقيقية، لكنها ليست جاهزة بعد للاستخدام الواسع من قبل العامة. والمشاكل الأمنية لا تزال قائمة.
تشغيل وكيل ذكي اصطناعي يتمتع بصلاحيات متقدمة يخلق فرصاً للهجوم لا تستطيع نماذج الأمن التقليدية التعامل معها. ويبدو أن سرعة انتشار هذه التقنيات تتجاوز قدرة قطاع الأمن على التكيف.
أما محتالو العملات الرقمية، فلا يزالون في الانتظار، يترقبون نافذة الفوضى التالية. كل ما يحتاجونه هو خطأ واحد أو فجوة أمنية واحدة. وكما اتضح، فإن عشر ثوانٍ قد تكون كافية.
الأسئلة الشائعة
ما الذي حدث لمشروع Clawdbot؟
- أجبر المشروع على تغيير اسمه إلى Moltbot بسبب نزاع على العلامة التجارية، ثم استولى محتالو العملات الرقمية على حساباته للترويج لعملة وهمية، واكتشف الباحثون ثغرات أمنية خطيرة فيه.
هل ما زال من الممكن استخدام البرنامج بأمان؟
- البرنامج نفسه (تحت اسم Moltbot) لا يزال يعمل، لكنه ليس سهلاً للمبتدئين. يجب على المستخدمين توخي الحذر الشديد وتطبيق إجراءات أمنية قوية لأنه يحمل صلاحيات متقدمة على أجهزتهم.
ما علاقة العملات الرقمية بما حدث؟
- استغل محتالو العملات الرقمية الفجوة الزمنية أثناء تغيير اسم المشروع للاستيلاء على حساباته والترويج لعملة وهمية (CLAWD) على شبكة سولانا، مما أدى إلى خسائر فادحة للمضاربين.
