Sai lầm về 'Môi trường đáng tin cậy'
Một nghiên cứu ngày 31 tháng 3 của công ty bảo mật Web3 Certik đã vạch trần "sự sụp đổ có hệ thống" của các ranh giới bảo mật trong Openclaw, một nền tảng trí tuệ nhân tạo (AI) mã nguồn mở. Mặc dù tăng trưởng nhanh chóng lên hơn 300,000 sao trên Github, framework này đã tích lũy hơn 100 CVE và 280 cảnh báo bảo mật chỉ trong bốn tháng, tạo ra cái mà các nhà nghiên cứu gọi là bề mặt tấn công "không giới hạn".
Báo cáo làm nổi bật một lỗ hổng kiến trúc cơ bản: Openclaw ban đầu được thiết kế cho "môi trường cục bộ đáng tin cậy". Tuy nhiên, khi độ phổ biến của nền tảng tăng vọt, người dùng bắt đầu triển khai nó trên các máy chủ hướng ra internet—một sự chuyển đổi mà phần mềm không bao giờ được trang bị để xử lý.
Theo báo cáo nghiên cứu, các nhà nghiên cứu đã xác định một số điểm lỗi có rủi ro cao gây nguy hiểm cho dữ liệu người dùng, bao gồm lỗ hổng nghiêm trọng CVE-2026-25253, cho phép kẻ tấn công chiếm toàn bộ quyền kiểm soát quản trị. Bằng cách lừa người dùng nhấp vào một liên kết độc hại duy nhất, hacker có thể đánh cắp token xác thực và chiếm quyền điều khiển AI Agent.
Trong khi đó, quét toàn cầu đã phát hiện hơn 135,000 phiên bản Openclaw bị lộ trên internet tại 82 quốc gia. Nhiều phiên bản trong số này đã tắt xác thực theo mặc định, làm rò rỉ khoá API, lịch sử trò chuyện và thông tin xác thực nhạy cảm ở dạng văn bản thuần túy. Báo cáo cũng khẳng định rằng kho lưu trữ "skills" được chia sẻ bởi người dùng của nền tảng đã bị xâm nhập bởi phần mềm độc hại và hàng trăm tiện ích mở rộng này được phát hiện đang tích hợp infostealer được thiết kế để đánh cắp mật khẩu đã lưu và ví tiền điện tử.
Hơn nữa, kẻ tấn công hiện đang ẩn giấu các hướng dẫn độc hại trong email và trang web. Khi AI Agent xử lý các tài liệu này, nó có thể bị buộc phải trích xuất tệp hoặc thực thi các lệnh trái phép mà người dùng không hề biết.
"Openclaw đã trở thành một nghiên cứu điển hình về những gì xảy ra khi các mô hình ngôn ngữ lớn không còn là hệ thống trò chuyện biệt lập và bắt đầu hoạt động bên trong môi trường thực," một kiểm toán viên chính từ Penligent cho biết. "Nó tổng hợp các lỗi phần mềm cổ điển thành một runtime với quyền được ủy thác cao, khiến bán kính ảnh hưởng của bất kỳ lỗi đơn lẻ nào trở nên lớn."
Giảm thiểu và Khuyến nghị An toàn
Để phản hồi những phát hiện này, các chuyên gia đang kêu gọi phương pháp tiếp cận "bảo mật trên hết" cho cả nhà phát triển và người dùng cuối. Đối với nhà phát triển, nghiên cứu khuyến nghị thiết lập các mô hình đe dọa chính thức từ ngày đầu tiên, thực thi cách ly sandbox nghiêm ngặt và đảm bảo rằng bất kỳ tiến trình con nào do AI tạo ra chỉ kế thừa các quyền cấp thấp, bất biến.
Đối với người dùng doanh nghiệp, các nhóm bảo mật được khuyến khích sử dụng công cụ phát hiện và phản ứng điểm cuối (EDR) để xác định vị trí các cài đặt Openclaw trái phép trong mạng doanh nghiệp. Mặt khác, người dùng cá nhân được khuyến khích chỉ chạy công cụ trong môi trường sandbox mà không có quyền truy cập vào dữ liệu sản xuất. Quan trọng nhất, người dùng phải cập nhật lên phiên bản 2026.1.29 hoặc mới hơn để vá các lỗ hổng thực thi mã từ xa (RCE) đã biết.
Mặc dù các nhà phát triển Openclaw gần đây đã hợp tác với Virustotal để quét các skills được tải lên, các nhà nghiên cứu Certik cảnh báo đây không phải là "giải pháp toàn diện". Cho đến khi nền tảng đạt đến giai đoạn bảo mật ổn định hơn, sự đồng thuận trong ngành là phải coi phần mềm này vốn dĩ không đáng tin cậy.
FAQ ❓
- Openclaw là gì? Openclaw là một framework AI mã nguồn mở tăng trưởng nhanh chóng lên hơn 300,000 sao GitHub.
- Tại sao nó có rủi ro? Nó được xây dựng cho mục đích sử dụng cục bộ đáng tin cậy nhưng hiện được triển khai rộng rãi trực tuyến, làm lộ các lỗ hổng nghiêm trọng.
- Những mối đe dọa nào tồn tại? CVE nghiêm trọng, tiện ích mở rộng bị nhiễm phần mềm độc hại và hơn 135,000 phiên bản bị lộ tại 82 quốc gia.
- Làm thế nào người dùng có thể an toàn? Chỉ chạy trong môi trường sandbox và cập nhật lên phiên bản 2026.1.29 hoặc mới hơn.
Nguồn: https://news.bitcoin.com/study-critical-exploit-in-openclaw-allows-full-administrative-hijacking/
