Tiện ích mở rộng AI ‘skill’ của OpenClaw là một cơn ác mộng về bảo mật

Mở rộng “kỹ năng” AI của OpenClaw bộc lộ lỗ hổng bảo mật khủng khiếp

OpenClaw, một trong những AI agent (trợ lý AI tự động thực thi tác vụ) đang được sử dụng rộng rãi, hiện bị coi là cơn ác mộng về an ninh mạng sau khi các nhà nghiên cứu phát hiện ra hàng trăm “kỹ năng” (skills) có chứa mã độc trên nền tảng mở rộng ClawHub mà người dùng có thể tải về để bổ sung chức năng cho AI. Các kỹ năng này vốn được xem như các tiện ích hoặc công cụ, nhưng thực chất có thể đánh cắp dữ liệu nhạy cảm hoặc lây nhiễm phần mềm độc hại.

Các skill độc hại được thiết kế để giả dạng công cụ hữu ích như trình tự động giao dịch tiền điện tử, trình tóm tắt YouTube hoặc tiện ích sản xuất, nhưng lại bao gồm phần mềm ăn cắp thông tin (infostealer) mà có thể thu thập dữ liệu như khóa ví tiền điện tử, thông tin đăng nhập SSH, mật khẩu trình duyệt và API credentials. Một số người dùng đã cài đặt các kỹ năng này và vô tình cấp cho chúng quyền truy cập hệ thống cao, khiến toàn bộ máy tính hoặc tài khoản bị xâm nhập.

Vấn đề trở nên nghiêm trọng vì ClawHub cho phép người đóng góp tải kỹ năng lên chỉ với tài khoản GitHub từ một tuần tuổi và không có kiểm duyệt hoặc xác minh mã trước khi đăng, tạo điều kiện cho mã độc xuất hiện dễ dàng trong kho lưu trữ.

OpenClaw chạy trực tiếp trên máy người dùng và có thể đọc/ghi file, chạy script, và thực thi lệnh shell khi được cấp quyền, nên những kỹ năng độc hại này không chỉ giới hạn ở việc thu thập dữ liệu — chúng có thể đặt backdoor, tải thêm payload độc hại, hoặc chiếm quyền điều khiển thiết bị.

Nhà phát triển OpenClaw (Peter Steinberger) đã thực hiện một số biện pháp như yêu cầu tài khoản GitHub đủ tuổi trước khi được đăng kỹ năng và thêm chức năng báo cáo kỹ năng, cũng như gần đây tích hợp quét mã độc qua VirusTotal để đánh dấu các skill nghi ngờ. Tuy nhiên, ngay cả những biện pháp này chưa đủ để giảm thiểu rủi ro hoàn toàn, và các chuyên gia bảo mật vẫn cảnh báo rằng mô hình hiện tại mở ra bề mặt tấn công rất lớn nếu không có quy trình kiểm duyệt chặt chẽ hơn.

Sự cố của OpenClaw phản ánh một vấn đề rộng hơn trong hệ sinh thái AI hiện nay: khi AI agents được phép mở rộng chức năng bằng các plugin hay skill do cộng đồng tạo ra, nguồn cung cấp “phần mở rộng” này có thể trở thành kênh phân phối mã độc quy mô lớn nếu không có phương pháp bảo mật nghiêm ngặt — tương tự những gì đã xảy ra với các hệ thống mã nguồn mở, cửa hàng extension và package registry trước đây.