Lỗ hổng Log Poisoning trên OpenClaw mở đường thao túng ngữ cảnh suy luận của AI agent

[WhiteHat Team]

Công ty bảo mật Eye Security vừa công bố một lỗ hổng trên OpenClaw, nền tảng AI Agent mã nguồn mở cho phép tích hợp sâu vào hạ tầng nội bộ và dịch vụ đám mây.Lỗ hổng Log Poisoning (đầu độc nhật ký) cho phép dữ liệu do người dùng kiểm soát được ghi vào log và xuất hiện trong ngữ cảnh suy luận của AI agent.
​

​

OpenClaw được thiết kế để kết nối với nền tảng nhắn tin, dịch vụ đám mây và các công cụ hệ thống cục bộ thông qua cơ chế gateway. Trong nhiều mô hình triển khai, AI agent này không chỉ phản hồi truy vấn mà còn đọc nhật ký hệ thống, phân tích bối cảnh sự cố và kích hoạt tác vụ vận hành thay mặt quản trị viên. Khi được tích hợp sâu vào quy trình xử lý sự cố, agent thực chất trở thành một thành phần có mức độ ảnh hưởng trực tiếp đến hạ tầng.

Theo thông tin được công bố, các phiên bản OpenClaw trước 2026.2.13 ghi trực tiếp một số trường tiêu đề của kết nối WebSocket như Origin và User Agent vào nhật ký hệ thống mà không thực hiện làm sạch dữ liệu đầy đủ. Trong trường hợp gateway có thể truy cập từ Internet, kẻ tấn công có thể gửi các giá trị tiêu đề được chế tác đặc biệt. Những nội dung này sau đó sẽ được lưu lại trong log dưới dạng dữ liệu hợp lệ.

Vấn đề phát sinh khi các dòng nhật ký đó được đưa trở lại quy trình phân tích. Trong kịch bản xử lý sự cố, agent có thể truy xuất log gần nhất để phân tích nguyên nhân. Nếu log đã bị chèn nội dung có chủ đích, dữ liệu này sẽ xuất hiện trong ngữ cảnh suy luận và ảnh hưởng trực tiếp đến kết luận được tạo ra.
​

Log Poisoning là kỹ thuật chèn nội dung có chủ đích vào log nhằm tác động đến các bước phân tích sau đó. Trong môi trường truyền thống, mục tiêu thường là đánh lừa quản trị viên. Tuy nhiên, khi AI agent tham gia trực tiếp vào quy trình vận hành, log không còn chỉ phục vụ con người mà trở thành đầu vào cho cơ chế suy luận tự động. Điều này làm thay đổi đáng kể bề mặt rủi ro.

Khác với các lỗ hổng khai thác bộ nhớ, kỹ thuật này không yêu cầu chiếm quyền thực thi mã. Kẻ tấn công chỉ cần tác động vào cách hệ thống diễn giải dữ liệu. Đây là hình thức thao túng ngữ cảnh gián tiếp, nơi quá trình phân tích của AI trở thành điểm bị lợi dụng.

Dữ liệu từ các công cụ quét như Shodan cho thấy nhiều instance OpenClaw đang mở cổng mặc định 18789 ra Internet. Việc để gateway AI lộ diện công khai làm gia tăng khả năng bị dò quét tự động và thử nghiệm chèn dữ liệu. Mức độ ảnh hưởng cụ thể còn phụ thuộc vào cách triển khai từng hệ thống, nhưng rủi ro về mặt kiến trúc là rõ ràng.

Eye Security cho biết lỗ hổng đã được khắc phục trong phiên bản 2026.2.13. Các phiên bản trước đó đều có nguy cơ bị tác động thông qua cơ chế đầu độc log. Người dùng được khuyến nghị cập nhật ngay và rà soát lại cấu hình truy cập để hạn chế phơi nhiễm gateway ra Internet.

Quan trọng hơn, sự cố này đặt ra yêu cầu đánh giá lại mô hình tin cậy dữ liệu trong hệ thống có AI agent tham gia vận hành. Mọi nguồn dữ liệu mà agent có thể đọc, bao gồm cả nhật ký hệ thống, cần được xem là đầu vào không đáng tin cậy. Các trường tiêu đề do người dùng kiểm soát phải được làm sạch trước khi ghi log. Nhật ký phục vụ gỡ lỗi cho con người nên được tách biệt khỏi dữ liệu được phép đưa vào ngữ cảnh suy luận của agent. Việc giám sát các mẫu tiêu đề bất thường và sự gia tăng đột biến của kết nối WebSocket thất bại cũng có thể giúp phát hiện sớm các dấu hiệu khai thác Log Poisoning.
​

Theo Cyber Security News​

​