Một báo cáo của công ty an ninh mạng Certik ngày 16/3/2026 cảnh báo rằng Openclaw – nền tảng trí tuệ nhân tạo mã nguồn mở – có nhiều lỗ hổng bảo mật, đặc biệt là cơ chế “skill scanning” không đủ để bảo vệ người dùng khỏi các tiện ích mở rộng (skill) độc hại từ bên thứ ba.
Theo báo cáo, mô hình bảo mật của Openclaw phụ thuộc quá nhiều vào việc phát hiện và cảnh báo, thay vì cách ly chạy an toàn (runtime isolation), khiến người dùng dễ bị xâm nhập ở cấp độ hệ thống.
Hạn chế của quy trình kiểm duyệt Clawhub
Trên thị trường của Openclaw, Clawhub, các “skill” – ứng dụng bên thứ ba cung cấp khả năng như tự động hóa hệ thống hay quản lý ví crypto – được kiểm duyệt thông qua nhiều lớp, bao gồm Virustotal để quét mã độc đã biết, Static Moderation Engine để phát hiện các mẫu mã đáng ngờ, và một công cụ “incoherence detector” kiểm tra sự khác biệt giữa mục đích tuyên bố của skill và hành vi thực tế.
Tuy nhiên, Certik cho rằng các quy tắc tĩnh có thể bị vượt qua bằng cách viết lại mã đơn giản. Lớp đánh giá AI chỉ phát hiện ý định rõ ràng, còn các lỗ hổng ẩn trong mã trông hợp lý vẫn có thể bỏ sót.
Lỗ hổng “Pending”
Một điểm yếu quan trọng là cách xử lý kết quả quét đang chờ xử lý. Skill vẫn có thể được cài đặt ngay cả khi Virustotal chưa trả kết quả, quá trình này có thể kéo dài vài giờ hoặc vài ngày, nhưng vẫn được hệ thống coi là “an toàn”.
Để chứng minh, các nhà nghiên cứu của Certik tạo một skill PoC có tên “test-web-searcher”. Skill này trông bình thường nhưng chứa lỗ hổng cho phép thực thi lệnh tùy ý trên máy chủ. Khi chạy qua Telegram, skill này vượt qua sandbox tùy chọn của Openclaw và hiện máy tính tính toán trên máy thử nghiệm – minh họa điển hình cho việc xâm nhập hệ thống hoàn toàn.
Khuyến nghị và cảnh báo
Báo cáo kết luận rằng việc phát hiện không thể thay thế ranh giới bảo mật thực sự. Certik khuyến nghị Openclaw chạy các skill bên thứ ba trong môi trường cách ly theo mặc định và yêu cầu skill khai báo rõ nhu cầu tài nguyên trước, tương tự hệ điều hành di động hiện đại.
Người dùng được cảnh báo rằng nhãn “benign” trên Clawhub không đồng nghĩa với an toàn. Cho đến khi cơ chế cách ly mạnh hơn được áp dụng mặc định, nền tảng chỉ nên sử dụng trong môi trường giá trị thấp, tránh các thông tin nhạy cảm hoặc tài sản quan trọng.
Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.
Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, CoinPhoton.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.
Theo dõi chúng tôi ngay:
- Telegram: @coinphoton_vn
X (Twitter): @coinphoton_vi
Discord: @coinphoton_vn
