Một báo cáo của Certik đã chỉ ra những lỗ hổng bảo mật nghiêm trọng trong Openclaw, một nền tảng AI mã nguồn mở, đặc biệt là việc nền tảng này phụ thuộc vào tính năng "quét kỹ năng" (skill scanning) – vốn không thể bảo vệ người dùng một cách đầy đủ trước các tiện ích mở rộng độc hại từ bên thứ ba.
Các kỹ năng AI của Openclaw dễ bị khai thác độc hại, các nhà nghiên cứu của Certik cảnh báo
TÁC GIẢ
CHIA SẺ
Hạn chế của quy trình kiểm duyệt Clawhub
Một báo cáo của công ty an ninh mạng Certik đã tiết lộ những lỗ hổng bảo mật đáng kể trong OpenClaw, một nền tảng đại lý trí tuệ nhân tạo mã nguồn mở, đồng thời cảnh báo rằng việc nền tảng này phụ thuộc vào "quét kỹ năng" là không đủ để bảo vệ người dùng khỏi các tiện ích mở rộng độc hại của bên thứ ba.
Các phát hiện, được công bố vào ngày 16 tháng 3 năm 2026, cho thấy mô hình bảo mật của nền tảng này phụ thuộc quá nhiều vào việc phát hiện và cảnh báo thay vì cách ly thời gian chạy mạnh mẽ, khiến người dùng dễ bị tấn công ở cấp độ máy chủ.
Theo báo cáo, thị trường Clawhub của OpenClaw hiện sử dụng quy trình kiểm duyệt nhiều lớp để đánh giá các "kỹ năng" — ứng dụng của bên thứ ba cung cấp cho tác nhân AI các khả năng như tự động hóa hệ thống hoặc thao tác ví tiền điện tử. Quy trình này bao gồm Virustotal để quét phần mềm độc hại đã biết và Static Moderation Engine, một công cụ được giới thiệu vào ngày 8 tháng 3 năm 2026, nhằm phát hiện các mẫu mã đáng ngờ. Nó cũng bao gồm cái mà báo cáo gọi là "bộ phát hiện sự không nhất quán", được thiết kế để phát hiện sự không khớp giữa mục đích được tuyên bố của một kỹ năng và hành vi thực tế của nó.
Tuy nhiên, các nhà nghiên cứu của Certik cho biết các quy tắc tĩnh tìm kiếm "dấu hiệu cảnh báo" đã bị vượt qua bằng cách viết lại mã đơn giản. Họ cũng khẳng định rằng lớp đánh giá AI đã chứng tỏ hiệu quả trong việc phát hiện ý định rõ ràng nhưng gặp khó khăn trong việc xác định các lỗ hổng có thể khai thác ẩn trong mã trông có vẻ hợp lý.
Khoảng trống "Đang chờ xử lý"
Một trong những lỗ hổng nghiêm trọng nhất được Certik phát hiện là cách xử lý kết quả quét đang chờ xử lý. Các nhà nghiên cứu phát hiện ra rằng một kỹ năng vẫn có thể hoạt động và được cài đặt trên thị trường ngay cả khi kết quả từ VirusTotal vẫn đang chờ xử lý—một quá trình có thể mất hàng giờ hoặc hàng ngày. Trên thực tế, các kỹ năng đang chờ xử lý này được coi là vô hại, cho phép chúng được cài đặt mà không có cảnh báo nào cho người dùng.
Để chứng minh lỗ hổng này, các nhà nghiên cứu của Certik đã tạo ra một kỹ năng chứng minh khái niệm (PoC) có tên là "test-web-searcher". Skill này trông có vẻ hoạt động bình thường và vô hại nhưng chứa một lỗ hổng ẩn có hình dạng "lỗ hổng bảo mật", cho phép thực thi lệnh tùy ý trên máy chủ. Khi được kích hoạt qua Telegram, skill này đã thành công vượt qua chế độ sandboxing tùy chọn của Openclaw và "mở máy tính" trên máy của nhà nghiên cứu — một minh chứng điển hình cho việc chiếm quyền kiểm soát toàn bộ hệ thống.
AI tự trị: Bot Openclaw Sinh ra một Tác nhân 'Con' và Cấp vốn cho nó bằng Bitcoin
Tìm hiểu về đặc vụ Openclaw sáng tạo, tự động mua cơ sở hạ tầng bằng bitcoin mà không cần sự can thiệp của con người. read more.
Đọc ngay
AI tự trị: Bot Openclaw Sinh ra một Tác nhân 'Con' và Cấp vốn cho nó bằng Bitcoin
Tìm hiểu về đặc vụ Openclaw sáng tạo, tự động mua cơ sở hạ tầng bằng bitcoin mà không cần sự can thiệp của con người. read more.
Đọc ngayAI tự trị: Bot Openclaw Sinh ra một Tác nhân 'Con' và Cấp vốn cho nó bằng Bitcoin
Đọc ngayTìm hiểu về đặc vụ Openclaw sáng tạo, tự động mua cơ sở hạ tầng bằng bitcoin mà không cần sự can thiệp của con người. read more.
Báo cáo kết luận rằng việc phát hiện không bao giờ có thể thay thế cho một ranh giới bảo mật thực sự. Certik khuyến nghị các nhà phát triển Openclaw nên chạy các kỹ năng của bên thứ ba trong môi trường cách ly theo mặc định, thay vì dựa vào cấu hình tùy chọn của người dùng. Các nhà phát triển cũng nên triển khai mô hình yêu cầu các kỹ năng phải khai báo nhu cầu tài nguyên cụ thể ngay từ đầu, tương tự như các hệ điều hành di động hiện đại.
Đối với người dùng, Certik đưa ra một cảnh báo nghiêm khắc: Nhãn "benign" trên Clawhub không phải là bằng chứng về bảo mật. Cho đến khi cách ly mạnh mẽ hơn trở thành mặc định, nền tảng này chỉ nên được sử dụng trong các môi trường có giá trị thấp, tránh xa các thông tin đăng nhập hoặc tài sản nhạy cảm.
Câu hỏi thường gặp ❓
- Certik đã phát hiện vấn đề bảo mật nào trong Openclaw? Certik báo cáo rằng việc Openclaw dựa vào "quét kỹ năng" không thể bảo vệ người dùng khỏi các tiện ích mở rộng của bên thứ ba độc hại một cách đầy đủ.
- Quy trình kiểm duyệt của Openclaw hoạt động như thế nào? Openclaw sử dụng quy trình kiểm duyệt nhiều lớp, bao gồm các công cụ như Virustotal và bộ phát hiện mâu thuẫn để xem xét các "kỹ năng" của bên thứ ba.
- Lỗ hổng nghiêm trọng liên quan đến kết quả quét đang chờ xử lý là gì? Các "kỹ năng" có thể vẫn hoạt động và có thể cài đặt trong khi kết quả quét đang chờ xử lý, gây ra rủi ro vì người dùng có thể vô tình cài đặt các tiện ích mở rộng độc hại.
- Người dùng nên làm gì để bảo vệ dữ liệu của mình trên Openclaw? Người dùng được khuyến cáo chỉ nên sử dụng Openclaw trong các môi trường có giá trị thấp cho đến khi các nhà phát triển triển khai các biện pháp cách ly mạnh mẽ hơn.
