OpenClaw dính lỗ hổng bảo mật nghiêm trọng

Theo nghiên cứu từ công ty xây dựng ứng dụng AI Blink, lỗ hổng tồn tại trên OpenClaw cho phép bất kỳ ai với quyền truy cập thấp nhất cũng có thể âm thầm nâng cấp lên quyền quản trị viên đầy đủ nếu bị khai thác. Vấn đề xảy ra khi hệ thống ghép nối với OpenClaw không xác minh được liệu người phê duyệt thực sự có thẩm quyền cấp phép hay không.

"Vì vậy, kẻ tấn công chỉ cần quyền ghép nối cơ bản cũng có thể yêu cầu quyền quản trị và tự phê duyệt yêu cầu của mình", đại diện Blink giải thích trên blog. "Về cơ bản, cánh cửa đã được mở từ bên trong".

Theo nhóm nghiên cứu, khoảng 63% phiên bản OpenClaw được kết nối Internet đang chạy hiện không có bất kỳ xác thực nào. Trên các hệ thống đó, kẻ tấn công thậm chí không cần tài khoản cấp thấp để bắt đầu nhưng vẫn có thể xâm nhập từ bên ngoài và dần dần leo lên quyền quản trị.

Nói với Ars Technica, nhóm cho biết đã gửi báo cáo lỗi lên đội ngũ OpenClaw từ tuần trước. Dù vậy, đến ngày 7/4, ba bản vá lỗi mới công bố, trong đó lỗ hổng nguy hiểm nhất là CVE-2026-33579, đạt 9,8/10 về mức độ nghiêm trọng.

Theo Mashable, CVE-2026-33579 là lỗ hổng liên quan đến ghép nối thứ 6 được phát hiện trong OpenClaw trong vòng 6 tuần. Tất cả là biến thể của cùng một lỗi thiết kế cơ bản trong cách công cụ xử lý quyền. Mỗi bản vá chỉ giải quyết một lỗ hổng cụ thể riêng lẻ thay vì thiết kế lại hệ thống ủy quyền để khắc phục triệt để. Do đó, trang này cho rằng nếu đội ngũ OpenClaw không có giải pháp tổng thể, các lỗ hổng nguy hiểm mới nhiều khả năng lại xuất hiện trong tương lai.

OpenClaw chưa đưa ra bình luận. Trước đó, nhà sáng lập Peter Steinberger cảnh báo người dùng tiềm năng trên GitHub rằng "không có thiết lập nào hoàn toàn an toàn cả".

OpenClaw ra đời tháng 11/2025 và nhanh chóng gây sốt toàn cầu thời gian qua. Đây là gói phần mềm miễn phí cho phép người dùng tạo ra tác nhân AI (AI Agent), tức các hệ thống có thể thực hiện nhiệm vụ tự động mà không cần con người can thiệp quá sâu. Nền tảng đóng vai trò cầu nối giữa các mô hình AI mạnh mẽ hiện nay như Anthropic Claude hay OpenAI GPT với nhiệm vụ thực tế mà con người thực sự muốn AI thực hiện. Sau khi thiết lập tác nhân OpenClaw của riêng mình trên máy tính hoặc thông qua nhà cung cấp ảo, người dùng có thể soạn tin văn bản hoặc tin nhắn WhatsApp đến AI, hướng dẫn nó thực hiện nhiệm vụ khác nhau.

Được thiết kế để ai cũng dễ sử dụng, OpenClaw kết nối với hệ thống AI trả phí hoặc nguồn mở, nhiều trong đó đến từ Trung Quốc như DeepSeek, Alibaba. Tác nhân AI sau khi được tạo cũng có thể tự học cách thực hiện nhiệm vụ mới, ghi nhớ chi tiết sở thích của người dùng, qua đó cho phép chúng tự điều chỉnh mô hình theo ý thích chủ nhân theo thời gian. Nền tảng hiện dựa vào một đội ngũ tình nguyện viên nhỏ với nhiệm vụ duy trì sự ổn định của mã nguồn, giải quyết các vấn đề của người dùng, vá lỗi bảo mật.

Theo Bloomberg, hôm 10/3, Trung tâm điều phối ứng phó khẩn cấp mạng máy tính quốc gia Trung Quốc (CNCERT/CC) khuyến cáo việc cài đặt, sử dụng OpenClaw không đúng cách có thể khiến người dùng gặp rủi ro về an ninh mạng. Cùng ngày, Bộ Công nghiệp và Công nghệ Thông tin Trung Quốc cảnh báo cấu hình OpenClaw mặc định hoặc không chính xác có thể khiến hệ thống dễ bị tấn công mạng hoặc rò rỉ dữ liệu. Ngày 13/3, Học viện Công nghệ Thông tin và Truyền thông Trung Quốc khởi xướng sáng kiến phát triển tiêu chuẩn cho các tác nhân "móng vuốt" như OpenClaw với mục tiêu "giải quyết các quy trình ra quyết định thiếu minh bạch" của chúng.

Giới chuyên gia cảnh báo, OpenClaw đang trong quá trình phát triển, do đó sẽ đối mặt với những vấn đề về bảo mật, độ tin cậy và khả năng bị lạm dụng. Theo Tom's Hardware, việc mở rộng khả năng của tác nhân có thể làm lộ dữ liệu nhạy cảm hoặc thực hiện các hành động ngoài ý muốn. OpenClaw cũng yêu cầu quyền truy cập thiết bị cấp cao để thực hiện một số tác vụ tự động, làm tăng nguy cơ truy cập hệ thống trái phép hoặc rò rỉ dữ liệu.

Bảo Lâm tổng hợp