محققان امنیتی دریافتند که مهاجمان با استفاده از توکن سرقتشده npm، نسخهای آلوده و مخرب از Cline CLI را منتشر کردهاند. این نسخه شامل یک اسکریپت مخرب postinstall در فایل package.json است که بلافاصله پس از نصب یا بهروزرسانی اجرا میشود و بدون اطلاع کاربر، AI agent محبوب OpenClaw را روی سیستم توسعهدهندگان نصب میکند، چه کاربر قصد نصب آن را داشته باشد و چه نداشته باشد.
این حمله نمونهای آشکار از حمله زنجیره تأمین (Supply Chain Attack) در اکوسیستم npm محسوب میشود.
نکته کلیدی: OpenClaw دارای دسترسی گسترده به منابع سیستم و یکپارچگی با پلتفرمهای پیامرسان WhatsApp، Telegram، Slack، Discord، iMessage و Microsoft Teams است. سوءاستفاده از این سطح دسترسی میتواند منجر به افشای دادههای حساس، اجرای اقدامات خودکار ناخواسته و نفوذ در محیطهای سازمانی شود.
بر اساس گزارش پلتفرم امنیتی Socket، این اسکریپت حدود هشت ساعت فعال بود؛ بازهای کوتاه اما کافی برای تهدید محیطهای توسعه متعدد. هرچند OpenClaw به خودی خود بدافزار نیست، اما نصب بدون رضایت کاربر میتواند آن را در دسته برنامههای بالقوه ناخواسته (PUA) قرار دهد.
به گفته David Shipley از شرکت Beauceron Security:
«مهاجمان عملاً OpenClaw را به بدافزاری تبدیل میکنند که راهکارهای EDR قادر به متوقف کردن آن نیستند.»
محبوبیت OpenClaw و سوءاستفاده مهاجمان
OpenClaw که پیشتر با نامهای Clawdbot و Moltbot شناخته میشد، یک AI agent خودکار و متنباز است که از 29 ژانویه منتشر شده و در مدت کوتاهی به یکی از پر مخاطبترین ابزارهای جامعه توسعهدهندگان تبدیل شده است. این ابزار بهصورت لوکال روی سختافزار کاربر اجرا میشود و قادر است اقدامات واقعی و خودکار از جمله خواندن ایمیلها، جستوجو و تعامل خودکار با وبسایتها، اجرای برنامهها و مدیریت تقویمها را انجام دهد.
همین سطح از خودکارسازی و دسترسی سیستمی، OpenClaw را به ابزاری قدرتمند تبدیل میکند اما در عین حال سطح حمله آن را نیز افزایش میدهد.
آسیبپذیریها و ریسکهای امنیتی
تقریباً بلافاصله پس از انتشار، نگرانیهای امنیتی جدی برای OpenClaw مطرح شد، از جمله:
- آسیبپذیری در برابر Prompt Injection
- امکان دور زدن احراز هویت (Authentication Bypass)
- آسیبپذیر در برابر حملات Server-Side Request Forgery (SSRF)
نسخه cline@2.3.0 به خودی خود بدافزار نیست، اما یک سوءاستفاده کوچک در زیرساخت انتشار npm به مهاجمان اجازه میدهد هر نرمافزاری را روی سیستم توسعهدهندگان نصب کنند. این بار قربانی OpenClaw شد، اما دفعه بعد ممکن است یک بدافزار پیشرفته و خطرناک باشد.
این امر نشان میدهد که حتی یک AI agent محبوب و لوکال میتواند به سرعت به ابزار سوءاستفاده تبدیل شود و هیچگاه نباید زنجیره تأمین نرمافزار دست کم گرفته شود.
جزئیات فنی انتشار نسخه آلوده OpenClaw
- نسخه CLI تحت تأثیر: cline@2.3.0
- تاریخ انتشار نسخه آلوده: 17 فوریه 2026
- نسخه اصلاحشده: 2.4.0 (منتشر شده حدود 8 ساعت بعد)
راهنمای اقدامات فوری برای توسعهدهندگان
برای توسعهدهندگانی که Cline CLI را در بازه زمانی نصب نسخه آلوده (17 فوریه 2026) اجرا کردهاند، انجام اقدامات زیر حیاتی است:
- بهروزرسانی به آخرین نسخه CLI: برای اطمینان از رفع آسیبپذیری امنیتی و جلوگیری از نصبهای ناخواسته، Cline را به آخرین نسخه بهروزرسانی کنید. (npm install -g cline@latest)
کاربران نسخه 2.3.0 باید فوراً به 2.4.0 یا بالاتر بهروزرسانی کنند.
- حذف OpenClaw در صورت نصب ناخواسته: اگر OpenClaw به طور تصادفی نصب شده است، سریعاً آن را حذف کنید. (npm uninstall -g openclaw)
به گفته Sarah Gooding از پلتفرم Socket:
«هیچ فرآیندی فراتر از نصب خودکار اجرا نمیشود، اما OpenClaw یک AI agent قدرتمند با دسترسی گسترده به سیستم است و نصب ناخواسته میتواند ریسک امنیتی قابلتوجهی ایجاد کند.»
این اقدامات برای حفاظت از محیط توسعه و امنیت زنجیره تأمین نرمافزار ضروری هستند.
سناریوی بدون بُرد و پیامدها
کارشناسان امنیت سایبری هشدار میدهند که ابزارهای EDR و MDR ممکن است OpenClaw را بهعنوان PUA یا حتی بدافزار کامل شناسایی کنند و نصب ناخواسته آن ریسک امنیتی جدی برای سیستمهای توسعه و محیطهای سازمانی ایجاد میکند.
تحلیلگران هشدار میدهند که انتشار OpenClaw از طریق حملات زنجیره تأمین npm، یکی از بزرگترین بحرانهای امنیت سایبری سال 2026 است.
این رویداد امنیتی نمونهای روشن از تهدیدات زنجیره تأمین نرمافزار و AI agentها به شمار میرود و اهمیت توجه به امنیت توسعهدهندگان را بیش از پیش برجسته میکند.
