Theo công ty an ninh mạng CertiK, việc tích hợp rộng rãi các trợ lý AI như OpenClaw đang tạo ra những rủi ro bảo mật nghiêm trọng, khiến người dùng dễ bị thực hiện các hành động trái phép, lộ dữ liệu, xâm nhập hệ thống và bị rút cạn ví tiền điện tử.
OpenClaw là một tác nhân AI tự lưu trữ (self-hosted AI agent) tích hợp với các nền tảng nhắn tin như WhatsApp, Slack và Telegram, có khả năng tự động thực hiện các hành động trên máy tính của người dùng, chẳng hạn như quản lý email, lịch và tệp.
Ước tính có khoảng 2 triệu người dùng hoạt động hàng tháng trên nền tảng này, theo Openclaw.vps. Một nghiên cứu của McKinsey vào tháng 11 tiết lộ rằng 62% số người được khảo sát cho biết tổ chức của họ đã thử nghiệm các tác nhân AI.
Tuy nhiên, CertiK cảnh báo rằng nó đã trở thành “vector tấn công chuỗi cung ứng chính ở quy mô lớn.”
OpenClaw phát triển từ một dự án phụ có tên Clawdbot, ra mắt vào tháng 11 năm 2025, đạt hơn 300.000 GitHub stars – một tính năng đánh dấu hoặc “thích” trên nền tảng dành cho nhà phát triển – cho thấy sự gia tăng mạnh mẽ về mức độ phổ biến nhưng cũng tích lũy “nợ bảo mật” nghiêm trọng trong quá trình này, CertiK lưu ý.
Tuy nhiên, chỉ trong vài tuần sau khi ra mắt, Bitsight đã xác định 30.000 phiên bản OpenClaw bị phơi bày trên internet, và các nhà nghiên cứu của SecurityScorecard đã tìm thấy 135.000 phiên bản trên 82 quốc gia, trong đó 15.200 phiên bản đặc biệt dễ bị tổn thương trước việc thực thi mã từ xa (remote code execution).
OpenClaw cũng đã trở thành “nền tảng tác nhân AI bị giám sát gắt gao nhất từ góc độ bảo mật,” tích lũy hơn 280 Cảnh báo bảo mật GitHub, 100 Lỗ hổng và Phơi nhiễm phổ biến (CVEs), và một “loạt các cuộc tấn công cấp hệ sinh thái” kể từ khi ra mắt vào tháng 11, các nhà nghiên cứu của CertiK đã viết trong một báo cáo chia sẻ với Cointelegraph.
Bởi vì OpenClaw hoạt động như một cầu nối giữa đầu vào bên ngoài và việc thực thi hệ thống cục bộ, “nó giới thiệu các vector tấn công cổ điển,” các nhà nghiên cứu cho biết.
Những điều này bao gồm việc chiếm quyền điều khiển cổng cục bộ (local gateway hijacking), nơi các trang web hoặc tải trọng (payload) độc hại có thể khai thác sự hiện diện của tác nhân trên máy cục bộ để trích xuất dữ liệu nhạy cảm của người dùng hoặc thực thi các lệnh trái phép.
Liên quan: SlowMist giới thiệu bộ giải pháp bảo mật Web3 cho các tác nhân AI tự trị
CertiK cảnh báo về những mối nguy hiểm của các plugin, có thể thêm kênh, công cụ, tuyến HTTP, dịch vụ và nhà cung cấp, trong khi các kỹ năng độc hại có thể được cài đặt từ nguồn cục bộ hoặc chợ ứng dụng.
Không giống như phần mềm độc hại truyền thống, “các kỹ năng độc hại” có thể thao túng hành vi thông qua ngôn ngữ tự nhiên, chống lại việc quét thông thường.
“Khi được khởi chạy, phần mềm độc hại có thể đánh cắp thông tin nhạy cảm như mật khẩu và thông tin đăng nhập ví tiền điện tử.”
Các cửa hậu (backdoor) độc hại cũng có thể được ẩn trong các cơ sở mã chức năng hợp pháp, “nơi chúng tìm nạp các URL có vẻ vô hại mà cuối cùng lại cung cấp các lệnh shell hoặc tải trọng phần mềm độc hại,” họ nói thêm.
Các nhà nghiên cứu của CertiK nói với Cointelegraph rằng những kẻ tấn công đã chiến lược gieo rắc các kỹ năng độc hại trên nhiều danh mục giá trị cao, “bao gồm các tiện ích cho Phantom, trình theo dõi ví, công cụ tìm ví nội bộ, công cụ Polymarket và tích hợp Google Workspace.”
“Họ giăng một mạng lưới cực kỳ rộng khắp hệ sinh thái tiền điện tử, với tải trọng chính được thiết kế để nhắm mục tiêu đồng thời vào một số lượng lớn ví tiện ích mở rộng trình duyệt, chẳng hạn như MetaMask, Phantom, Trust Wallet, Coinbase Wallet, OKX Wallet và nhiều ví khác,” họ cho biết.
Các nhà nghiên cứu nói thêm rằng có “sự trùng lặp rõ ràng trong thủ đoạn với hệ sinh thái trộm cắp tiền điện tử rộng lớn hơn, như kỹ thuật xã hội (social engineering), mồi nhử tiện ích giả mạo, đánh cắp thông tin đăng nhập, lừa đảo tập trung vào ví (wallet-focused phishing).”
“Đây đều là những chiêu trò nổi tiếng từ sổ tay kẻ rút ví crypto (crypto drainer playbook), và chúng tôi đã thấy chúng được sử dụng ở đây.
Người sáng lập OpenClaw, Peter Steinberg, người gần đây đã gia nhập OpenAI, cho biết họ đang nỗ lực cải thiện bảo mật của OpenClaw.
"Một điều mà chúng tôi đã làm trong hai tháng qua là bảo mật. Vì vậy, mọi thứ đã tốt hơn rất nhiều về mặt đó," Steinberg nói tại sự kiện "ClawCon" vào thứ Hai tại Tokyo.
Đầu tháng này, công ty an ninh mạng OX Security đã báo cáo một chiến dịch lừa đảo (phishing campaign) sử dụng các bài đăng giả mạo trên GitHub và một token “CLAW” giả mạo để dụ dỗ các nhà phát triển OpenClaw kết nối ví tiền điện tử.
CertiK khuyên những người dùng thông thường “không phải là chuyên gia bảo mật, nhà phát triển hay những người am hiểu công nghệ có kinh nghiệm,” không nên cài đặt và sử dụng OpenClaw từ đầu mà hãy chờ đợi “các phiên bản trưởng thành hơn, được tăng cường bảo mật và dễ quản lý hơn.”
Công ty an ninh mạng SlowMist đã giới thiệu một khuôn khổ bảo mật cho các tác nhân AI vào đầu tháng 3, giới thiệu nó như một “pháo đài kỹ thuật số” để phòng thủ chống lại các rủi ro đi kèm với các hệ thống tự trị xử lý các hành động on-chain (trên chuỗi) và tài sản kỹ thuật số.
Tạp chí: Các ngân hàng muốn điều hành sàn giao dịch tiền điện tử của Việt Nam, kế hoạch 70 triệu đô la BTC của Boyaa: Asia Express
