آنچه در این مقاله میخوانید
معرفی 7 تا از چالش های امنیتی OpenClaw در 2026
۲۸ تیر ۱۴۰۵
OpenClaw فقط یک رابط برای چتباتها نیست. این ابزار میتواند دستورات Shell را اجرا کند، مرورگر و تقویم را کنترل کند، فایلها را بخواند و ویرایش کند و اطلاعات را بین نشستهای مختلف نگه دارد. OpenClaw بهصورت Local روی سیستم اجرا میشود و از طریق اتصالهای آماده و ازپیشپیکربندیشده به سرویسهایی مانند واتساپ، تلگرام، iMessage، دیسکورد، اسلک و بیش از ده پلتفرم دیگر متصل میشود.
کاربران از OpenClaw برای کارهای مختلفی استفاده کردهاند؛ از دنبالکردن خبرها و انجام معامله خودکار در Polymarket گرفته تا دسترسی به دوربینهای خانه و ارسال درخواست برای پروژههای UpWork با کمک چند عامل هوش مصنوعی (Subagents) که هرکدام وظیفه مشخصی بر عهده داشتند.

OpenClaw برای انجام بسیاری از این وظایف باید به یک مدل زبانی متصل شود. این اتصال میتواند از طریق API هوش مصنوعی لیارا انجام شود، اما کلید API نیز مانند توکن پیامرسانها و سایر اطلاعات ورود، دادهای حساس است و باید از آن بهدرستی محافظت شود.
همین سطح گسترده از دسترسی میتواند خطرناک باشد. پژوهشگران آسیبپذیریهای جدیای شناسایی کردهاند که امکان کنترل سیستم تنها با بازکردن یک لینک مخرب را فراهم میکردند. در همین حال، Moltbook، پلتفرمی شبیه ردیت با بیش از ۲٫۸ میلیون عامل هوش مصنوعی، با افشای پایگاه داده مواجه شد؛ اتفاقی که امکان در اختیار گرفتن عاملهای موجود در این پلتفرم را فراهم میکرد.
البته این موارد به معنای کنارگذاشتن OpenClaw نیست. پیش از دادن دسترسی Root به این ابزار، باید خطرهای امنیتی آن را شناخت و محیط اجرا را از سیستمهای اصلی جدا کرد. اجرای OpenClaw روی زیرساخت ابری لیارا میتواند آن را از سیستم شخصی جدا نگه دارد و با استفاده از احراز هویت، قوانین فایروال و ایزولهسازی کانتینرها، بخشی از ریسکهای امنیتی را کاهش دهد.
در ادامه میخوانیم:
- چالش های امنیتی OpenClaw چیست؟
- ۷ چالش امنیتی OpenClaw که باید جدی بگیرید
- ۱. اجرای کد از راه دور با یک لینک مخرب
- ۲. ده ها هزار OpenClaw بدون محافظت در دسترس عموم اینترنت
- ۳. مهارت های مخرب ClawHub و خطر زنجیره تامین
- ۴. ذخیره اطلاعات ورود به صورت متن ساده و نشت کلیدهای API
- ۵. تشدید حملات Prompt Injection با حافظه ماندگار
- ۶. استفاده بدون مجوز از هوش مصنوعی در شبکه های سازمانی
- ۷. نشت پایگاه داده Moltbook و افشای اطلاعات میلیون ها عامل
- جمع بندی
- سوالات متداول
چالش های امنیتی OpenClaw چیست؟
چالش امنیتی OpenClaw از اینجا شروع میشود که برای کارکرد درست، به دسترسی گسترده به سیستم نیاز دارد. این ابزار با مجوزهای حساب کاربری شما اجرا میشود و میتواند به فایلها، ترمینال و شبکه دسترسی داشته باشد؛ در نتیجه، هر خطا یا سوء استفاده میتواند خطر بزرگی ایجاد کند.
OpenClaw همچنین بر پایه معماری ایجنت محور طراحی شده و میتواند رفتار خود را تغییر دهد، حافظهاش را بهروزرسانی کند و مهارتهای جدید را بهصورت خودکار نصب کند. این قابلیتها در کنار تنظیمات بدون احراز هویت، مهارتهای بررسینشده و حافظه دائمی، ریسک را بیشتر میکنند. بنابراین باید آن را دور از سیستمهای اصلی و با تنظیمات محدود اجرا کرد.
پیتر اشتاینبرگر، سازنده OpenClaw نیز اجرای آن در یک محیط Sandbox را توصیه میکند؛ محیطی که با اجرای ابزارها در کانتینرهای Docker، دسترسی آنها به فایلها و پردازههای سیستم را محدود میکند. در لیارا هم میتوان OpenClaw را در محیطی ایزوله اجرا کرد تا این جداسازی بدون پیکربندی پیچیده انجام شود.

۷ چالش امنیتی OpenClaw که باید جدی بگیرید
بررسیهای امنیتی تاکنون ۵۱۲ آسیبپذیری در OpenClaw شناسایی کردهاند که هشت مورد از آنها در دسته آسیبپذیریهای بحرانی قرار میگیرند. علاوه بر این، مهاجمان از مهارتهای مخرب منتشرشده در ClawHub برای سرقت کیف پولهای رمزارزی استفاده کردهاند. این گزارشها نشان میدهند که خطرهای امنیتی OpenClaw فقط در حد احتمال و هشدار نیستند و مدت کوتاهی پس از انتشار آن، نمونههای واقعی سوء استفاده نیز مشاهده شده است.
بنابراین، اگر قصد دارید OpenClaw را آزمایش یا راهاندازی کنید، بهتر است از همان ابتدا این چالشهای امنیتی را در نظر بگیرید و دسترسیها و محیط اجرای آن را با دقت کنترل کنید.
برای راهاندازی درست و امن OpenClaw، میتوانید آموزش اجرای آن در لیارا را مطالعه کنید.
OpenClaw چیست؟
۱. اجرای کد از راه دور با یک لینک مخرب
یکی از مهمترین آسیبپذیریهای OpenClaw با شناسه CVE-2026-25253 به مهاجم اجازه میداد تنها با بازکردن یک صفحه یا لینک مخرب، کد دلخواه خود را روی سیستم اجرا کند. دلیل این مشکل، بررسینشدن هدر WebSocket Origin در سرور محلی OpenClaw بود؛ بنابراین یک وبسایت مخرب میتوانست بدون اطلاع کاربر به عامل در حال اجرا متصل شود، توکنهای احراز هویت را سرقت کند، فایلها را بخواند، تنظیمات را تغییر دهد و دستور اجرا کند. این اتفاق نشان میدهد اجرای OpenClaw روی همان سیستمی که با آن وبگردی میکنید، چه خطرهایی دارد.
بررسیهای امنیتی:
- اگر از نسخهای قدیمیتر از نسخه 2026.1.29 استفاده میکنید، OpenClaw را فوراً بهروزرسانی کنید.
- هنگام اجرای OpenClaw از بازدید وبسایتهای ناشناس یا غیرقابلاعتماد خودداری کنید.
- برای افزایش امنیت، عامل را پشت یک Reverse Proxy با اعتبارسنجی صحیح Origin قرار دهید.
۲. ده ها هزار OpenClaw بدون محافظت در دسترس عموم اینترنت
در نسخههای اولیه، OpenClaw اتصالهای localhost را بدون رمز عبور معتبر میدانست. این موضوع زمانی خطرناک میشد که Reverse Proxy اشتباه تنظیم شده بود؛ چون درخواستهای اینترنتی به 127.0.0.1 فرستاده میشدند و عامل آنها را اتصال محلی و قابلاعتماد تشخیص میداد. پژوهشگران Bitsight در یک بازه بررسی، بیش از ۳۰ هزار OpenClaw در حال اجرا را شناسایی کردند که مستقیماً از طریق اینترنت در دسترس بودند.
جیمیسون اورایلی، پژوهشگر امنیتی، در بررسی OpenClawهای بدون محافظتی که از طریق اینترنت در دسترس بودند، به اطلاعات حساسی مانند کلیدهای API انتروپیک، توکنهای ربات تلگرام، حسابهای Slack و تاریخچه کامل گفتوگوها دسترسی پیدا کرد. او حتی توانست بدون نیاز به احراز هویت، از طرف کاربران پیام ارسال کند و دستورها را با دسترسی مدیریتی اجرا کند؛ موضوعی که جدیبودن این آسیبپذیری را بهخوبی نشان میدهد.
این مشکل در نسخههای جدید برطرف شده است. اکنون احراز هویت Gateway بهصورت پیشفرض اجباری است و ابزار راهاندازی اولیه حتی برای localhost هم بهطور خودکار توکن میسازد.
بررسیهای امنیتی:
- OpenClaw را در یک محیط ابری ایزوله اجرا کنید تا کلیدهای API، اطلاعات ورود و تاریخچه گفتگوها روی سیستم شخصی باقی نمانند.
- مطمئن شوید دسترسی عمومی به OpenClaw از طریق اینترنت بسته است.
- دسترسی شبکه را با قوانین فایروال محدود کنید.
- احراز هویت مبتنی بر توکن را برای Gateway فعال نگه دارید.
- پنل کنترل را فقط از طریق VPN یا SSH Tunnel در دسترس قرار دهید.

۳. مهارت های مخرب ClawHub و خطر زنجیره تامین
در ClawHub، بازار عمومی مهارتهای OpenClaw، تقریباً هر کسی با یک حساب GitHub قدیمیتر از یک هفته میتواند افزونه منتشر کند. همین محدودیت ساده باعث شده این پلتفرم به هدف مهاجمان تبدیل شود.Koi Security با بررسی همه ۲٬۸۵۷ مهارت موجود در اوپن کلا، ۳۴۱ مهارت کاملاً مخرب را شناسایی کرد. بررسی مستقل Bitdefender، نزدیک به ۹۰۰ مهارت مخرب را شناسایی کرد؛ یعنی حدود ۲۰ درصد از کل بستهها. تنها یک حساب با نام «hightower6eu» نیز ۳۵۴ بسته مخرب منتشر کرده بود.
این مهارتها معمولاً ظاهر و مستندات حرفهای دارند، اما در بخش پیشنیازها از کاربر میخواهند نرمافزاری نصب کند که در واقع بدافزار Atomic Stealer (AMOS) برای سرقت اطلاعات ورود در macOS است.
بررسیهای امنیتی:
- OpenClaw اکنون با VirusTotal همکاری میکند تا مهارتهای جدید را اسکن کند، اما این روش همه تهدیدها را شناسایی نمیکند.
- پیش از نصب هر مهارت، کد منبع آن را بررسی کنید.
- سن و سابقه حساب ناشر را در GitHub یا ClawHub بررسی کنید.
- هر مهارت را مانند کدی ناشناس در نظر بگیرید که با دسترسی کامل عامل اجرا میشود.
- به محل اجرای OpenClaw تکیه نکنید؛ یک مهارت مخرب روی سرور ابری و لپتاپ به یک اندازه خطرناک است.
۴. ذخیره اطلاعات ورود به صورت متن ساده و نشت کلیدهای API
OpenClaw اطلاعات حساس را بهصورت متن ساده ذخیره میکند؛ از جمله کلیدهای API ارائهدهنده مدل زبانی و توکن پیامرسانهایی که عامل به آنها متصل است. برای نمونه، اگر OpenClaw را از طریق API هوش مصنوعی لیارا به مدلهای زبانی متصل میکنید، باید کلید دسترسی را خارج از کد و فایلهای عمومی نگه دارید، سطح دسترسی آن را محدود کنید و برای مصرف حساب سقف مشخصی در نظر بگیرید.
اگر فرد دیگری به محیطی که OpenClaw روی آن اجرا میشود دسترسی پیدا کند، کلیدهای API و سایر اطلاعات حساس میتوانند بهراحتی سرقت شوند. حملات Prompt Injection نیز ممکن است با قراردادن دستورهای مخفی در محتوای ورودی، عامل را وادار کنند اطلاعات ورود را به بیرون ارسال کند.
تیم Cisco هنگام بررسی مهارتی با نام “What Would Elon Do“ به ۹ مشکل امنیتی رسید که دو مورد از آنها بحرانی بود. این مهارت از عامل میخواست با اجرای دستور curl، اطلاعات را به سروری تحت کنترل سازنده مهارت ارسال کند؛ یعنی در عمل، بدافزاری بود که پشت یک نام شوخیآمیز پنهان شده بود.
بررسیهای امنیتی:
- کلیدهای API را بهصورت دورهای تغییر دهید.
- اطلاعات حساس را بهجای فایلهای تنظیمات، در متغیرهای محیطی یا یک Secret Manager نگه دارید.
- برای حساب ارائهدهنده مدل زبانی سقف هزینه تعیین کنید تا در صورت نشت کلید، هزینه زیادی ایجاد نشود.
۵. تشدید حملات Prompt Injection با حافظه ماندگار
خطر تزریق دستور مخرب به مدل (Prompt Injection) در OpenClaw بهدلیل حافظه ماندگار آن بیشتر از یک چت بات معمولی است. این عامل تاریخچه گفتوگوها، ترجیحات کاربر و اطلاعات نشستهای قبلی را نگه میدارد. در نتیجه، یک دستور مخرب پنهانشده در وبسایت، ایمیل یا فایل لزوماً همان لحظه اجرا نمیشود؛ ممکن است روزها در حافظه باقی بماند و هنگام انجام وظیفهای دیگر فعال شود.

Palo Alto Networks این تهدید را نوعی “حمله ماندگار با اجرای دیرهنگام” توصیف میکند؛ یعنی حملهای که اثر آن در حافظه عامل باقی میماند و در زمان دیگری خود را نشان میدهد.
بررسیهای امنیتی:
- در حال حاضر راهحل کاملی برای Prompt Injection وجود ندارد.
- دسترسی عامل به ابزارها و مجوزها را محدود کنید.
- دسترسی آن به سیستمهای حساس را از سایر بخشها جدا نگه دارید.
- حافظه و کانتکست عامل را بهصورت دورهای بررسی کنید تا دستور یا اطلاعات مشکوکی در آن باقی نمانده باشد.
۶. استفاده بدون مجوز از هوش مصنوعی در شبکه های سازمانی
به استفاده کارکنان از ابزارهای هوش مصنوعی بدون اطلاع یا تأیید تیم IT، «هوش مصنوعی سایه» یا Shadow AI گفته میشود. برای مثال، ممکن است یکی از کارکنان OpenClaw را بدون بررسی امنیتی روی سیستم کاری خود اجرا کند و به آن اجازه دسترسی به فایلها، پیامها یا شبکه داخلی سازمان را بدهد.
Token Security اعلام کرده است که در ۲۲ درصد از مشتریان سازمانی این شرکت، کارکنان بدون مجوز تیم IT از OpenClaw استفاده میکردند. Bitdefender نیز موارد مشابهی از اجرای عاملها روی سیستمهای سازمانی گزارش کرده است.
این موضوع زمانی خطرناکتر میشود که OpenClaw روی لپتاپی اجرا شود که از طریق VPN به شبکه داخلی یا محیط عملیاتی سازمان دسترسی دارد. در چنین شرایطی، هر آسیبپذیری یا پیکربندی نادرست میتواند از یک مشکل محدود روی لپتاپ، به یک تهدید برای کل سازمان تبدیل شود.
به استفاده کارکنان از ابزارهای هوش مصنوعی بدون اطلاع یا تأیید تیم IT، «هوش مصنوعی سایه» یا Shadow AI گفته میشود.
بررسیهای امنیتی:
- شبکه سازمان را برای شناسایی موارد اجرای بدون مجوز OpenClaw بررسی کنید.
- الگوهای ترافیک WebSocket مربوط به این ابزار را پایش کنید.
- استفاده از OpenClaw را فقط در محیطهای ایزوله و تأییدشده، مانند ماشین مجازی یا سرور ابری، مجاز بدانید.
- از اجرای آن روی لپتاپهایی که به شبکه داخلی یا محیط عملیاتی دسترسی دارند جلوگیری کنید.
- یک روش امن و تأییدشده برای استقرار OpenClaw در اختیار تیمها قرار دهید؛ این رویکرد معمولاً از ممنوعیت کامل آن مؤثرتر است.
۷. نشت پایگاه داده Moltbook و افشای اطلاعات میلیون ها عامل
مشکلات امنیتی فقط به OpenClaw محدود نیست. Moltbook، شبکه اجتماعی عاملهای هوش مصنوعی که مت شلیخت آن را ساخته، با افشای پایگاه داده روبهرو شد. شرکت امنیت سایبری Wiz این مشکل را اوایل فوریه شناسایی کرد. پایگاه داده هیچ کنترل دسترسی نداشت و هر کسی میتوانست حدود ۱.۵ میلیون توکن API، ۳۵ هزار آدرس ایمیل و پیامهای خصوصی میان عاملها را مشاهده کند؛ اطلاعاتی که برای در اختیار گرفتن هر عامل موجود در پلتفرم کافی بود. وزارت صنعت و فناوری اطلاعات چین نیز با اشاره به چنین رخدادهایی، درباره خطرهای امنیتی OpenClaw هشدار رسمی صادر کرد.
بررسیهای امنیتی:
- اگر از Moltbook استفاده کردهاید، همه کلیدهای API و توکنهای مرتبط با عامل خود را تغییر دهید.
- پلتفرمهای شخص ثالث در اکوسیستم OpenClaw را پیش از واردکردن اطلاعات ورود با دقت بررسی کنید.
- برای سرویسهایی که به کلیدها و توکنهای شما دسترسی میخواهند، بررسیهای امنیتی بیشتری در نظر بگیرید.

جمع بندی
قابلیتهای گسترده OpenClaw همان چیزی است که آن را به ابزاری کاربردی و در عین حال پرریسک تبدیل میکند. دسترسی به فایلها، ترمینال، مرورگر، پیامرسانها، کلیدهای API و حافظه ماندگار باعث میشود یک آسیبپذیری، تنظیم نادرست یا مهارت مخرب بتواند پیامدهای جدی داشته باشد. بنابراین نباید OpenClaw را مانند یک چتبات معمولی در نظر گرفت؛ این ابزار عملاً مانند کاربری با دسترسی گسترده به سیستم عمل میکند.
راهحل، کنارگذاشتن کامل OpenClaw نیست، بلکه اجرای آن در محیطی جدا و کنترلشده است. بهروزرسانی منظم، فعالبودن احراز هویت، محدودکردن دسترسی شبکه با فایروال، بررسی مهارتها پیش از نصب، محافظت از کلیدهای API و بازبینی حافظه عامل از مهمترین اقداماتی هستند که باید انجام شوند. اجرای OpenClaw روی یک محیط ابری ایزوله نیز کمک میکند فایلها و اطلاعات شخصی از عامل جدا بمانند و در صورت بروز مشکل، دامنه آسیب محدودتر شود.
سوالات متداول
چرا متخصصان امنیت درباره OpenClaw نگران هستند؟
عاملهای OpenClaw به بخشهای حساسی مثل ترمینال، فایلهای سیستم و مرورگر دسترسی دارند و تنظیمات امنیتی پیشفرض آنها همیشه کافی نیست. ترکیب این دسترسی گسترده با پیکربندی ضعیف میتواند به نشت کلیدهای API، تصاحب عاملها و سرقت اطلاعات ورود از طریق مهارتهای مخرب منجر شود.
کدام اشتباهات پیکربندی، OpenClaw را بیشتر در معرض حمله قرار می دهند؟
مهمترین مورد، اجرای Gateway بدون احراز هویت است؛ بهخصوص وقتی Reverse Proxy اشتباه تنظیم شده باشد و اتصالهای مورد اعتماد localhost را از اینترنت در دسترس قرار دهد. بهروزرسانینکردن OpenClaw و باقیماندن روی نسخههای آسیبپذیر به CVE-2026-25253 هم خطر جدی دیگری است. سومین مورد، نصب مهارتهای بررسینشده از ClawHub بدون بازبینی کد منبع آنهاست.
آیا اجرای OpenClaw روی سرور ابری اختصاصی امن تر از لپ تاپ شخصی یا سیستم کاری است؟
بله. اجرای OpenClaw روی یک سرور جداگانه، آن را از فایلهای شخصی، نشستهای مرورگر و اطلاعات ورود کاری شما دور نگه میدارد. اگر مشکلی پیش بیاید، آسیب معمولاً به همان سرور محدود میشود.
برای این کار میتوانید OpenClaw را روی سرور مجازی ابری لیارا اجرا کنید و تنظیماتی مانند فایروال، احراز هویت و ایزولهسازی کانتینرها را متناسب با نیاز خود اعمال کنید. به این ترتیب، کنترل بیشتری روی محیط اجرا دارید و لازم نیست عامل را روی لپتاپ شخصی یا سیستم سازمانی اجرا کنید.
آیا مهارت های ClawHub به طور پیش فرض امن هستند؟
خیر. پژوهشگران صدها مهارت مخرب پیدا کردهاند که ظاهری عادی داشتند، اما برخی از آنها بدافزارهای سرقت اطلاعات نصب میکردند. OpenClaw اکنون فایلهای جدید را با VirusTotal اسکن میکند، اما این روش همه تهدیدها، بهویژه حملات Prompt Injection، را شناسایی نمیکند.
پیش از نصب هر مهارت، کد منبع آن را بررسی کنید و فقط سراغ ناشرانی بروید که سابقه مشخص و قابلاعتمادی دارند.
برای افزایش امنیت OpenClaw چه اقداماتی باید انجام داد؟
بهترین کار این است که OpenClaw را در یک محیط ایزوله مانند ماشین مجازی، کانتینر یا زیرساخت ابری لیارا اجرا کنید. همچنین احراز هویت Gateway را فعال نگه دارید، نرمافزار را همیشه بهروز کنید، دسترسی شبکه را با فایروال محدود کنید، پیش از نصب مهارتهای ClawHub کد آنها را بررسی کنید و کلیدهای API را به صورت دورهای تغییر دهید.
در محیطهای سازمانی نیز بهتر است شبکه را برای شناسایی OpenClawهایی که بدون تأیید تیم IT اجرا شدهاند پایش کنید. همچنین در سیاستهای کنترل دسترسی، OpenClaw را مانند کاربری در نظر بگیرید که به بخشهای حساس سیستم دسترسی دارد و مجوزهای آن را بر همین اساس محدود کنید.

