Nhà phát triển đứng sau lựa chọn thay thế nhẹ hơn cho OpenClaw cho biết cô lập (isolation) là chìa khóa để bảo mật AI agent, và đó chính là điểm mạnh của NanoClaw.

Những điểm chính

• NanoClaw xuất hiện như một lựa chọn thay thế cho OpenClaw.

• Dự án đã khá phổ biến với khoảng 3.000 lượt fork trên GitHub.

• Nhà phát triển cho rằng cô lập môi trường chạy là yếu tố quan trọng nhất.

Nếu bạn theo dõi lĩnh vực AI, có lẽ bạn đã nghe đến OpenClaw — một AI agent từng gây sốt vì được mô tả là hệ thống AI “thực sự làm được việc”.

Được hỗ trợ bởi các mô hình AI như ChatGPT và Claude, OpenClaw là một trợ lý AI phức tạp có thể thực hiện hành động thay cho bạn, ví dụ như:

• gửi email

• quản lý inbox và lịch

• đặt dịch vụ

Nếu được mở rộng bằng các skills, OpenClaw thậm chí có thể:

• điều khiển thiết bị nhà thông minh

• thực hiện các tác vụ kinh doanh

• xử lý thanh toán

Mạnh mẽ và có thể thay đổi cuộc chơi — nhưng cũng là cơn ác mộng về bảo mật.

Đã có những trường hợp AI agent gây sự cố, ví dụ một nhà nghiên cứu của Meta phát hiện OpenClaw xóa sạch hộp thư email của cô.

NanoClaw là gì?

Liệu có một giải pháp đơn giản hơn giúp người dùng thử nghiệm AI agent an toàn hơn?

Đó là câu hỏi mà lập trình viên Gavriel Cohen đặt ra khi tạo ra NanoClaw.

NanoClaw được mô tả là “AI agent cá nhân an toàn”.

Đặc điểm:

• mã nguồn mở

• hơn 18.000 sao trên GitHub

• khoảng 3.000 lượt fork

Agent này sử dụng Claude Code và có codebase nhỏ hơn nhiều so với OpenClaw.

So sánh:

OpenClaw

• hơn 400.000 dòng code

NanoClaw

• dưới 4.000 dòng code

• dưới 10 dependencies

• chạy một process duy nhất

Mặc dù nhẹ hơn rất nhiều, NanoClaw vẫn có thể cung cấp chức năng tương tự nếu người dùng tùy chỉnh và tích hợp skills.

Lợi ích bảo mật

Điểm nổi bật của NanoClaw là sử dụng container mặc định.

Codebase nhỏ và mã nguồn mở giúp việc kiểm tra bảo mật có thể thực hiện chỉ trong vài giờ, giảm đáng kể bề mặt tấn công.

Trong khi đó, OpenClaw từng gặp nhiều vấn đề như:

• lỗ hổng thực thi mã từ xa (RCE)

• tấn công prompt injection

• skills bị xâm nhập

• các instance bị lộ trên internet

Chưa kể rủi ro khi cấp quyền cho AI truy cập:

• tài khoản online

• dữ liệu cá nhân

Vì sao container quan trọng?

Trong NanoClaw, mỗi bot chạy trong container riêng:

• Apple Container

• Docker container

Điều này giới hạn quyền truy cập của agent trên máy tính.

Container chỉ cho phép agent truy cập những dữ liệu được gắn (mounted) rõ ràng.

Ngay cả các lệnh Bash cũng chạy bên trong container, không trực tiếp trên hệ điều hành.

Vấn đề của OpenClaw

Theo Cohen:

OpenClaw chạy agent trực tiếp trên máy của bạn.

Ngay cả khi đặt OpenClaw trong container hoặc máy riêng, agent vẫn có thể truy cập dữ liệu của agent khác.

Ví dụ:

Một agent công việc có thể trả lời khách hàng rằng bạn không rảnh vì đang đưa con đi học múa ballet, vì nó truy cập lịch cá nhân từ agent khác.

Đó gọi là rò rỉ dữ liệu giữa các agent.

Giải pháp:

Mỗi agent cần chạy trong container riêng biệt để tránh “lây nhiễm chéo”.

Thiết lập bảo mật quan trọng trong NanoClaw

Khi tải NanoClaw về, hệ thống sẽ tự cài đặt các thành phần cần thiết.

Sau đó bạn có thể tùy chỉnh bằng Claude skills, thay vì tải skills từ các kho không kiểm chứng.

Theo nhà phát triển, điều quan trọng nhất là hiểu về group chính (main group).

Group này là:

• nhóm quản trị

• có quyền admin

• thấy dữ liệu của các group khác

• có thể thêm agent mới

Vì vậy:

👉 Không chia sẻ quyền truy cập group này cho người khác.

Ngoài ra, nên:

• tắt search và internet access cho agent chính

Agent chính nên:

• quản lý các agent khác

• thiết lập hệ thống

Nhưng không nên là agent thực thi công việc chính, vì nó có nguy cơ tiếp xúc với dữ liệu độc hại hoặc prompt injection.

Prompt injection thì sao?

NanoClaw sử dụng Claude Code, có thể cung cấp khả năng bảo vệ tốt hơn trước prompt injection.

Prompt injection là dạng tấn công:

• chèn lệnh độc hại vào nội dung web

• khiến AI thực thi hành động nguy hiểm

Để giảm rủi ro, nhà phát triển khuyên:

• không đặt agent vào các group có cuộc hội thoại nhiều lượt không được giám sát

Nếu agent bị tấn công prompt injection:

• kẻ tấn công vẫn chỉ có quyền truy cập dữ liệu mà bạn cấp cho agent đó

Agent không thể truy cập toàn bộ máy tính hoặc các agent khác.

Kết luận

NanoClaw có thể là lựa chọn an toàn hơn OpenClaw nhờ:

• codebase nhỏ

• container isolation

• kiến trúc dựa trên Claude skills

Tuy nhiên, giống mọi AI agent khác, người dùng vẫn cần thận trọng với quyền truy cập và khả năng mà bạn cấp cho hệ thống AI.