أكدت مايكروسوفت أن هجومًا على سلسلة التوريد استهدف أداة Cline، إحدى أشهر أدوات المساعدة في كتابة الكود البرمجي بالذكاء الاصطناعي مفتوحة المصدر، أدى إلى تثبيت وكيل ذكاء اصطناعي يُدعى OpenClaw على آلاف أجهزة المطورين خلال ساعات قليلة.
الهجوم لم يعتمد على برمجيات خبيثة تقليدية، بل استغل ثغرة Prompt Injection ظلت دون معالجة لأسابيع، رغم تحذيرات خاصة متكررة من باحث أمني اكتشفها مبكرًا.
كيف بدأ الهجوم؟
القصة تعود إلى الأول من يناير 2026، عندما أبلغ الباحث الأمني عدنان خان فريق Cline بوجود ثغرة في آلية معالجة المشكلات على GitHub. كانت الأداة تعتمد على نموذج Claude من شركة Anthropic لتحليل العناوين الجديدة تلقائيًا عبر نظام triage ذكي.
المشكلة أن عنوانًا يحتوي على Prompt Injection كان قادرًا على خداع النموذج لتنفيذ أوامر غير مقصودة.
ورغم محاولات تواصل لاحقة في 8 و18 يناير، لم يتلق الباحث أي رد.
في 28 يناير، استغل مهاجم يستخدم حسابًا باسم glthub-actions على GitHub الفكرة، ونشر مشكلة تحتوي على حمولة خبيثة ضمن العنوان. ونتيجة لذلك، تم خداع روبوت المعالجة الآلية ليُسرّب رموز نشر npm من بيئة CI/CD الخاصة بالمشروع.
في 9 فبراير، وبعد أكثر من خمسة أسابيع من الانتظار، نشر الباحث تفاصيل الثغرة علنًا. تحرك فريق Cline بسرعة وأغلق الثغرة خلال 30 دقيقة. لكن الضرر كان قد وقع بالفعل.
نسخة خبيثة في npm
في 17 فبراير عند الساعة 3:26 صباحًا بتوقيت المحيط الهادئ، استُخدمت بيانات الاعتماد المسروقة لنشر النسخة 2.3.0 من حزمة cline على npm.
التعديل كان بسيطًا لكنه خطير: إضافة postinstall hook يقوم تلقائيًا بتنفيذ أمر تثبيت OpenClaw عالميًا على جهاز المطور.
خلال نحو ثماني ساعات، تم تحميل النسخة المخترقة أكثر من 4,000 مرة قبل أن يتم إيقافها ونشر نسخة مصححة.
مايكروسوفت Threat Intelligence أكدت رصد “زيادة صغيرة ولكن ملحوظة” في عمليات تثبيت OpenClaw بين الساعة 11:26 و19:30 بالتوقيت العالمي يوم 17 فبراير.
حمولة غير خبيثة… لكن الخطر حقيقي
المفارقة أن OpenClaw ليس برمجية خبيثة. بل هو وكيل ذكاء اصطناعي مستقل يحظى بشعبية كبيرة، إذ تجاوز 145 ألف نجمة على GitHub وجذب مليوني مستخدم خلال أسبوع واحد فقط.
لذلك صنّف فريق Cline الحادثة بدرجة خطورة منخفضة، مؤكدين أنه لم يتم زرع أبواب خلفية أو سرقة بيانات إضافية.
لكن خبراء الأمن رفضوا هذا التوصيف.
مايكل بارغوري، المدير التقني لشركة Zenity، وصف الحادثة بأنها “في أعلى درجات الخطورة”، مشيرًا إلى أن نفس الآلية كان يمكن أن تُستخدم لنشر أداة سرقة بيانات أو تنفيذ reverse shell دون أن يلاحظ أحد.
أما محلل أمن الذكاء الاصطناعي جورج زويلر، فاعتبر أن الحادثة دليل على أن تأمين وكلاء الذكاء الاصطناعي أصبح “شبه مستحيل”، داعيًا المؤسسات إلى عزلهم تمامًا عن بيئات الإنتاج.
استجابة الصناعة: هل نحن أمام نمط جديد من الهجمات؟
الهجوم يأتي في وقت تتصاعد فيه المخاوف من مخاطر Prompt Injection، خاصة مع توسع صلاحيات وكلاء الذكاء الاصطناعي ومنحهم وصولًا أعمق إلى الأنظمة.
في 12 فبراير، أعلنت OpenAI عن ميزة Lockdown Mode في ChatGPT Enterprise، وهي إعداد أمني اختياري يقيّد قدرة النظام على التفاعل مع الأنظمة الخارجية. الميزة تعطل التصفح الحي، وتمنع التنزيلات التلقائية، وتحد من الوظائف التي قد يستغلها المهاجمون لاستخراج البيانات.
تحليل صادر عن شركة Snyk وصف حادثة Cline بأنها مرشح لتكون “نقطة مرجعية” لفئة ناشئة من هجمات سلسلة التوريد المدعومة بالذكاء الاصطناعي، حيث تم اختراق وكيل ذكاء اصطناعي بواسطة وكيل آخر لنشر وكيل ثالث.
ماذا يعني هذا للمطورين والشركات؟
الدرس هنا أعمق من حادثة عابرة. نحن أمام واقع جديد، أدوات الذكاء الاصطناعي لم تعد مجرد مساعدات ذكية، بل كيانات قادرة على اتخاذ قرارات وتنفيذ أوامر والوصول إلى مفاتيح حساسة داخل بيئات التطوير.
وعندما يتم دمجها مباشرة داخل خطوط CI/CD، فإن أي ثغرة Prompt Injection قد تتحول إلى بوابة لسلسلة توريد كاملة.
المعادلة تغيرت، لم يعد السؤال هل يمكن اختراق وكيل ذكاء اصطناعي، بل كيف نضعه داخل قفص أمني صارم قبل أن نمنحه مفاتيح البنية التحتية.
إن حادثة Cline ليست مجرد خطأ تقني. إنها إنذار مبكر لعصر جديد من الهجمات، حيث يصبح الذكاء الاصطناعي نفسه جزءًا من سطح الهجوم.
قد يكون OpenClaw بريئًا هذه المرة، لكن السابقة خطيرة. وفي عالم DevOps الحديث، ثماني ساعات كافية لتغيير كل شيء.
