CẢNH BÁO AN NINH | Lỗ hổng nghiêm trọng trong OpenClaw – Chỉ một lần truy cập website độc hại có thể bị chiếm toàn quyền AI agent

• 04/03/2026

Một lỗ hổng nghiêm trọng vừa được phát hiện trong OpenClaw – AI agent tự lưu trữ chạy trực tiếp trên máy lập trình viên. Lỗ hổng cho phép tin tặc chiếm toàn quyền điều khiển AI agent chỉ bằng việc nạn nhân truy cập một website độc hại.

Đáng lo ngại:

• Không cần cài plugin

• Không cần tiện ích mở rộng

• Không yêu cầu người dùng xác nhận

• Không hiển thị cảnh báo

Nguyên nhân xuất phát từ cách OpenClaw triển khai WebSocket gateway trên localhost với các giả định bảo mật lỗi thời, cho phép mã JavaScript từ website bên ngoài kết nối đến dịch vụ nội bộ và thực hiện brute-force mật khẩu.

Khi khai thác thành công, kẻ tấn công có thể:

• Đọc và trích xuất file nội bộ

• Thu thập API key, token xác thực

• Truy cập lịch sử Slack và tin nhắn riêng tư

• Thực thi lệnh hệ thống từ xa

Mức độ tác động tương đương với việc toàn bộ máy trạm của lập trình viên bị xâm nhập chỉ thông qua một tab trình duyệt.

TÌNH HÌNH & BỐI CẢNH THỰC TẾ

OpenClaw là AI agent mã nguồn mở được sử dụng rộng rãi trong cộng đồng developer toàn cầu. Công cụ này có khả năng tích hợp sâu với:

• Slack

• Hệ thống file nội bộ

• Công cụ phát triển phần mềm

• Thiết bị trong cùng mạng

Trong môi trường doanh nghiệp, AI agent thường được cấp quyền truy cập cao để tự động hóa công việc. Điều này khiến rủi ro gia tăng đáng kể nếu agent bị chiếm quyền.

Nguy cơ thực tế bao gồm:

• Lộ mã nguồn dự án

• Rò rỉ thông tin xác thực hệ thống

• Xâm nhập mạng nội bộ

• Tấn công chuỗi cung ứng phần mềm

Với tốc độ phổ biến nhanh của công cụ này, khả năng tồn tại nhiều phiên bản chưa cập nhật trong doanh nghiệp là hoàn toàn có thể xảy ra.

PHẠM VI ẢNH HƯỞNG

Đối tượng có nguy cơ cao:

• Lập trình viên cài đặt OpenClaw trên máy cá nhân

• Doanh nghiệp sử dụng AI agent nội bộ

• Tổ chức tích hợp OpenClaw vào quy trình phát triển

Lỗ hổng được đánh giá mức độ nghiêm trọng cao tại thời điểm công bố. Nhà phát triển đã phát hành bản vá và yêu cầu cập nhật lên phiên bản 2026.2.25 hoặc mới hơn.

GIẢI PHÁP & KHUYẾN NGHỊ KHẨN CẤP

DTG khuyến nghị các đơn vị và cá nhân thực hiện ngay:

• Cập nhật OpenClaw lên phiên bản mới nhất

• Rà soát toàn bộ máy lập trình viên để phát hiện cài đặt không kiểm soát (shadow IT)

• Thu hồi và xoay vòng API key, token đã cấp cho AI agent

• Kiểm tra log hệ thống để phát hiện truy cập bất thường

• Áp dụng nguyên tắc phân quyền tối thiểu (least privilege)

• Thiết lập cơ chế quản trị danh tính cho AI agent tương tự tài khoản người dùng hoặc service account

Đặc biệt: Không coi localhost là vùng an toàn tuyệt đối trong thiết kế hệ thống.

KHUYẾN CÁO TỪ DTG

Sự cố lần này cho thấy khi AI agent được trao quyền hành động thay con người, chúng trở thành mục tiêu tấn công có giá trị cao. Lỗ hổng không nằm ở mô hình AI mà ở hạ tầng bảo mật xung quanh nó.

Doanh nghiệp cần:

• Xem AI agent như một thực thể đặc quyền cao

• Thiết lập kiểm soát bảo mật tương đương tài khoản quản trị

• Chủ động cập nhật và giám sát liên tục

Việc chậm trễ cập nhật có thể biến AI agent thành “cửa hậu” cho các cuộc tấn công mạng quy mô lớn.

DTG sẽ tiếp tục theo dõi và cập nhật thông tin liên quan đến sự cố này trong các bản tin tiếp theo.