-
09/04/2020
-
128
-
1.618 bài viết
OpenClaw và hồi chuông cảnh báo về AI Agent trong doanh nghiệp
135.000 lượt star trong vài tuần là con số đủ để thu hút sự chú ý của cả cộng đồng. OpenClaw nhanh chóng trở thành một trong những dự án tăng trưởng nhanh nhất trên GitHub. Tuy nhiên, cùng với làn sóng quan tâm đó là chuỗi sự cố bảo mật dồn dập, biến nó thành tâm điểm của cuộc khủng hoảng an ninh AI agent đầu tiên năm 2026.
OpenClaw là gì và vì sao nó khác chatbot thông thường?
OpenClaw, trước đây từng mang tên Clawdbot và Moltbot sau các tranh chấp thương hiệu, là AI agent mã nguồn mở do Peter Steinberger phát triển. Khác với các trợ lý AI chỉ dừng ở việc trả lời câu hỏi, OpenClaw có khả năng hành động. Nó có thể thực thi lệnh hệ thống, đọc và ghi tệp, duyệt web, gửi email, quản lý lịch và tương tác trực tiếp với nhiều dịch vụ số của người dùng.
Người dùng giao tiếp với OpenClaw thông qua các nền tảng nhắn tin như WhatsApp, Slack, Telegram, Discord hay iMessage. Agent này chạy trên máy cục bộ và kết nối với các mô hình ngôn ngữ lớn như Claude hoặc GPT. Đáng chú ý, tính năng bộ nhớ bền vững giúp nó ghi nhớ ngữ cảnh qua nhiều phiên làm việc, dần thích nghi với thói quen và sở thích của người sử dụng.
Sức hút của OpenClaw nằm ở chỗ nó không chỉ gợi ý mà còn trực tiếp thực hiện thay bạn. Nhưng khi một AI có thể hành động thay con người, mọi sai lệch nhỏ cũng có thể trở thành một điểm xâm nhập lớn.
Người dùng giao tiếp với OpenClaw thông qua các nền tảng nhắn tin như WhatsApp, Slack, Telegram, Discord hay iMessage. Agent này chạy trên máy cục bộ và kết nối với các mô hình ngôn ngữ lớn như Claude hoặc GPT. Đáng chú ý, tính năng bộ nhớ bền vững giúp nó ghi nhớ ngữ cảnh qua nhiều phiên làm việc, dần thích nghi với thói quen và sở thích của người sử dụng.
Sức hút của OpenClaw nằm ở chỗ nó không chỉ gợi ý mà còn trực tiếp thực hiện thay bạn. Nhưng khi một AI có thể hành động thay con người, mọi sai lệch nhỏ cũng có thể trở thành một điểm xâm nhập lớn.
Hai tuần hỗn loạn: Chuỗi sự cố dồn dập
Chỉ trong hai tuần sau khi bùng nổ trên mạng, OpenClaw đã liên quan đến hàng loạt sự cố nghiêm trọng. Các vấn đề trải rộng từ lỗ hổng kỹ thuật, giao diện quản trị bị phơi lộ cho đến việc phát tán kỹ năng độc hại. Nếu nhìn riêng lẻ, mỗi sự cố đều đáng lo. Khi đặt trong cùng một bức tranh, chúng cho thấy AI agent có quyền truy cập sâu vào hệ thống đang tạo ra một nhóm rủi ro hoàn toàn mới.
Từ ngày 27 đến 29/01/2026, chiến dịch mang tên ClawHavoc ghi nhận 335 kỹ năng độc hại được phát tán qua ClawHub, chợ ứng dụng công khai của OpenClaw. Các kỹ năng này được trình bày chuyên nghiệp, mang những cái tên tưởng như vô hại như “solana-wallet-tracker” để tạo cảm giác tin cậy. Sau khi cài đặt, chúng yêu cầu người dùng chạy mã bên ngoài nhằm cài keylogger trên Windows hoặc mã độc Atomic Stealer trên macOS. Kết quả điều tra sau đó cho thấy có tổng cộng 341 kỹ năng độc hại trong số 2.857 kỹ năng, tương đương khoảng 12% toàn bộ kho bị xâm nhập.
Ngày 30/01/2026, OpenClaw phát hành phiên bản 2026.1.29 và âm thầm vá lỗ hổng CVE-2026-25253 trước khi công bố rộng rãi. Lỗ hổng này cho phép thực thi mã từ xa chỉ bằng một lần nhấp vào liên kết độc hại. Nguyên nhân xuất phát từ việc giao diện Control UI tin tưởng tham số URL mà không thực hiện xác thực đầy đủ, từ đó tạo điều kiện cho kỹ thuật chiếm quyền WebSocket hoạt động, ngay cả khi phiên bản chỉ lắng nghe trên localhost.
Chỉ một ngày sau, Censys phát hiện 21.639 phiên bản OpenClaw bị phơi lộ công khai trên Internet, tăng mạnh so với khoảng 1.000 phiên bản vài ngày trước đó. Mỹ chiếm tỷ lệ lớn nhất, tiếp theo là Trung Quốc, nơi ước tính khoảng 30% triển khai chạy trên Alibaba Cloud. Nhiều hệ thống cấu hình sai làm rò rỉ API key, OAuth token và thông tin xác thực ở dạng văn bản thuần.
Cũng trong tuần này, Moltbook, mạng xã hội dành riêng cho các agent OpenClaw, bị phát hiện để lộ cơ sở dữ liệu không bảo vệ. Sự cố khiến 35.000 địa chỉ email và 1,5 triệu API token của agent bị phơi bày. Trong bối cảnh nền tảng đã có hơn 770.000 agent hoạt động, vụ việc cho thấy một hệ sinh thái phát triển quá nhanh nhưng thiếu kiểm soát có thể khuếch đại rủi ro đến mức nào.
Ngày 03/02/2026, lỗ hổng CVE-2026-25253 chính thức được công bố với điểm CVSS 8,8. Cùng ngày, OpenClaw phát hành ba cảnh báo bảo mật nghiêm trọng, bao gồm lỗ hổng thực thi mã từ xa và hai lỗ hổng chèn lệnh. Các nhà nghiên cứu xác nhận chuỗi tấn công có thể hoàn tất chỉ trong vài mili giây sau khi nạn nhân truy cập một trang web độc hại.
Chuỗi sự kiện dồn dập này không còn là sự cố riêng lẻ. Nó cho thấy một hệ sinh thái đang mở rộng nhanh hơn khả năng tự bảo vệ của chính nó.
Từ ngày 27 đến 29/01/2026, chiến dịch mang tên ClawHavoc ghi nhận 335 kỹ năng độc hại được phát tán qua ClawHub, chợ ứng dụng công khai của OpenClaw. Các kỹ năng này được trình bày chuyên nghiệp, mang những cái tên tưởng như vô hại như “solana-wallet-tracker” để tạo cảm giác tin cậy. Sau khi cài đặt, chúng yêu cầu người dùng chạy mã bên ngoài nhằm cài keylogger trên Windows hoặc mã độc Atomic Stealer trên macOS. Kết quả điều tra sau đó cho thấy có tổng cộng 341 kỹ năng độc hại trong số 2.857 kỹ năng, tương đương khoảng 12% toàn bộ kho bị xâm nhập.
Ngày 30/01/2026, OpenClaw phát hành phiên bản 2026.1.29 và âm thầm vá lỗ hổng CVE-2026-25253 trước khi công bố rộng rãi. Lỗ hổng này cho phép thực thi mã từ xa chỉ bằng một lần nhấp vào liên kết độc hại. Nguyên nhân xuất phát từ việc giao diện Control UI tin tưởng tham số URL mà không thực hiện xác thực đầy đủ, từ đó tạo điều kiện cho kỹ thuật chiếm quyền WebSocket hoạt động, ngay cả khi phiên bản chỉ lắng nghe trên localhost.
Chỉ một ngày sau, Censys phát hiện 21.639 phiên bản OpenClaw bị phơi lộ công khai trên Internet, tăng mạnh so với khoảng 1.000 phiên bản vài ngày trước đó. Mỹ chiếm tỷ lệ lớn nhất, tiếp theo là Trung Quốc, nơi ước tính khoảng 30% triển khai chạy trên Alibaba Cloud. Nhiều hệ thống cấu hình sai làm rò rỉ API key, OAuth token và thông tin xác thực ở dạng văn bản thuần.
Cũng trong tuần này, Moltbook, mạng xã hội dành riêng cho các agent OpenClaw, bị phát hiện để lộ cơ sở dữ liệu không bảo vệ. Sự cố khiến 35.000 địa chỉ email và 1,5 triệu API token của agent bị phơi bày. Trong bối cảnh nền tảng đã có hơn 770.000 agent hoạt động, vụ việc cho thấy một hệ sinh thái phát triển quá nhanh nhưng thiếu kiểm soát có thể khuếch đại rủi ro đến mức nào.
Ngày 03/02/2026, lỗ hổng CVE-2026-25253 chính thức được công bố với điểm CVSS 8,8. Cùng ngày, OpenClaw phát hành ba cảnh báo bảo mật nghiêm trọng, bao gồm lỗ hổng thực thi mã từ xa và hai lỗ hổng chèn lệnh. Các nhà nghiên cứu xác nhận chuỗi tấn công có thể hoàn tất chỉ trong vài mili giây sau khi nạn nhân truy cập một trang web độc hại.
Chuỗi sự kiện dồn dập này không còn là sự cố riêng lẻ. Nó cho thấy một hệ sinh thái đang mở rộng nhanh hơn khả năng tự bảo vệ của chính nó.
Rủi ro lớn nhất: Shadow AI trong doanh nghiệp
Điều đáng lo không chỉ nằm ở các lỗ hổng kỹ thuật, mà ở cách OpenClaw được đưa vào môi trường doanh nghiệp mà đội ngũ an ninh không hề hay biết.
OpenClaw có thể tích hợp với email, lịch, tài liệu và các nền tảng nhắn tin. Khi kết nối với những ứng dụng SaaS như Slack hay Google Workspace, agent có thể truy cập tin nhắn, tệp đính kèm, email, sự kiện lịch, tài liệu lưu trữ trên đám mây và cả OAuth token. Những quyền truy cập này có thể bị lợi dụng để di chuyển ngang trong hệ thống.
Vì agent duy trì trạng thái và dữ liệu qua nhiều phiên, mọi quyền truy cập từng được cấp đều tiếp tục tồn tại. Một khi bị xâm phạm, kẻ tấn công sẽ thừa hưởng toàn bộ đặc quyền đó. Rủi ro khi ấy không còn giới hạn ở một ứng dụng, mà mở rộng sang toàn bộ hệ thống được kết nối.
Đây thực chất là một dạng “shadow AI” với đặc quyền cao. Quyền truy cập được cấp dần qua từng tích hợp nhỏ, nhưng bề mặt tấn công lại mở rộng theo cấp số nhân, trong khi nhiều tổ chức thậm chí chưa kịp nhận ra một AI agent đã trở thành một phần của hạ tầng nội bộ.
OpenClaw có thể tích hợp với email, lịch, tài liệu và các nền tảng nhắn tin. Khi kết nối với những ứng dụng SaaS như Slack hay Google Workspace, agent có thể truy cập tin nhắn, tệp đính kèm, email, sự kiện lịch, tài liệu lưu trữ trên đám mây và cả OAuth token. Những quyền truy cập này có thể bị lợi dụng để di chuyển ngang trong hệ thống.
Vì agent duy trì trạng thái và dữ liệu qua nhiều phiên, mọi quyền truy cập từng được cấp đều tiếp tục tồn tại. Một khi bị xâm phạm, kẻ tấn công sẽ thừa hưởng toàn bộ đặc quyền đó. Rủi ro khi ấy không còn giới hạn ở một ứng dụng, mà mở rộng sang toàn bộ hệ thống được kết nối.
Đây thực chất là một dạng “shadow AI” với đặc quyền cao. Quyền truy cập được cấp dần qua từng tích hợp nhỏ, nhưng bề mặt tấn công lại mở rộng theo cấp số nhân, trong khi nhiều tổ chức thậm chí chưa kịp nhận ra một AI agent đã trở thành một phần của hạ tầng nội bộ.
Vì sao khó phát hiện?
OpenClaw khó bị nhận diện vì nó không hoạt động như một phần mềm độc hại. Nó được cài đặt hợp lệ và được cấp quyền truy cập chính thức ngay từ đầu.
Các công cụ bảo mật truyền thống chủ yếu tìm kiếm hành vi trái phép. Trong khi đó, OpenClaw sử dụng đúng các quyền mà người dùng đã cấp. Giải pháp endpoint chỉ thấy một tiến trình hợp lệ đang chạy trên máy. Công cụ giám sát mạng chỉ ghi nhận các lời gọi API bình thường. Hệ thống quản lý danh tính thấy OAuth token hợp lệ và không coi đó là dấu hiệu bất thường.
Vấn đề không nằm ở việc không có dữ liệu, mà ở chỗ không có cơ chế liên kết các tín hiệu này để hiểu rằng một AI agent đang hành động thay mặt người dùng với đặc quyền cao.
Theo Reco, việc phát hiện OpenClaw trong môi trường SaaS cần thực hiện ở tầng ứng dụng. Thông qua trang quản lý plugin, đội ngũ bảo mật có thể rà soát các tích hợp liên quan và xem chi tiết các quyền đã được cấp giữa OpenClaw với Google Workspace hay Slack. Những quyền nhạy cảm sẽ được đánh dấu để hỗ trợ đánh giá rủi ro.
Trong quá trình điều tra, nhóm nghiên cứu cũng xác định một chuỗi user-agent đặc trưng liên quan đến hoạt động OpenClaw trong Slack. Chuỗi này có thể được truy vấn trực tiếp trong log truy cập để phát hiện các kết nối tương tự trong hệ thống nội bộ.
Các công cụ bảo mật truyền thống chủ yếu tìm kiếm hành vi trái phép. Trong khi đó, OpenClaw sử dụng đúng các quyền mà người dùng đã cấp. Giải pháp endpoint chỉ thấy một tiến trình hợp lệ đang chạy trên máy. Công cụ giám sát mạng chỉ ghi nhận các lời gọi API bình thường. Hệ thống quản lý danh tính thấy OAuth token hợp lệ và không coi đó là dấu hiệu bất thường.
Vấn đề không nằm ở việc không có dữ liệu, mà ở chỗ không có cơ chế liên kết các tín hiệu này để hiểu rằng một AI agent đang hành động thay mặt người dùng với đặc quyền cao.
Theo Reco, việc phát hiện OpenClaw trong môi trường SaaS cần thực hiện ở tầng ứng dụng. Thông qua trang quản lý plugin, đội ngũ bảo mật có thể rà soát các tích hợp liên quan và xem chi tiết các quyền đã được cấp giữa OpenClaw với Google Workspace hay Slack. Những quyền nhạy cảm sẽ được đánh dấu để hỗ trợ đánh giá rủi ro.
Trong quá trình điều tra, nhóm nghiên cứu cũng xác định một chuỗi user-agent đặc trưng liên quan đến hoạt động OpenClaw trong Slack. Chuỗi này có thể được truy vấn trực tiếp trong log truy cập để phát hiện các kết nối tương tự trong hệ thống nội bộ.
Bài toán không chỉ của riêng OpenClaw
Dù OpenClaw có tồn tại lâu dài hay không, nhu cầu về AI agent tự động sẽ không biến mất. Lợi ích về năng suất là điều có thật và người dùng sẵn sàng đánh đổi để có được sự tiện lợi đó. Con số 135.000 lượt star trên GitHub cho thấy mức độ quan tâm và tốc độ lan truyền của mô hình này đang vượt xa những cảnh báo từ giới an ninh.
Điều đang diễn ra với OpenClaw nhiều khả năng sẽ lặp lại với các AI agent khác.
Khi AI agent đã bắt đầu len vào hạ tầng nội bộ, khả năng quan sát và kiểm soát không còn là lựa chọn, mà là yêu cầu bắt buộc. Không thể bảo vệ thứ mà mình không nhìn thấy, càng không thể quản lý những đặc quyền được cấp âm thầm qua từng tích hợp nhỏ. AI agent đang mở ra một lớp ứng dụng mới và lớp này đòi hỏi một cách tiếp cận mới trong giám sát và phát hiện.
Điều đang diễn ra với OpenClaw nhiều khả năng sẽ lặp lại với các AI agent khác.
Khi AI agent đã bắt đầu len vào hạ tầng nội bộ, khả năng quan sát và kiểm soát không còn là lựa chọn, mà là yêu cầu bắt buộc. Không thể bảo vệ thứ mà mình không nhìn thấy, càng không thể quản lý những đặc quyền được cấp âm thầm qua từng tích hợp nhỏ. AI agent đang mở ra một lớp ứng dụng mới và lớp này đòi hỏi một cách tiếp cận mới trong giám sát và phát hiện.
Tổng hợp