Các nhà nghiên cứu an ninh mạng vừa tiết lộ một nhóm gồm bốn lỗ hổng bảo mật trong OpenClaw. Những lỗ hổng này có thể bị kết hợp với nhau (chain) để thực hiện hành vi đánh cắp dữ liệu, leo thang đặc quyền và duy trì sự hiện diện lâu dài trên hệ thống.
Các lỗ hổng này được Cyera đặt tên chung là Claw Chain, cho phép kẻ tấn công thiết lập bàn đạp, làm lộ dữ liệu nhạy cảm và cài đặt backdoor. Dưới đây là mô tả ngắn gọn về các lỗi này:
- CVE-2026-44112 (Điểm CVSS: 9.6/6.3): Lỗi TOCTOU (time-of-check/time-of-use) race condition trong backend sandbox managed của OpenShell. Nó cho phép kẻ tấn công vượt qua các hạn chế của sandbox và chuyển hướng ghi dữ liệu ra ngoài thư mục mount được chỉ định.
- CVE-2026-44113 (Điểm CVSS: 7.7/6.3): Một lỗi TOCTOU race condition khác trong OpenShell, cho phép kẻ tấn công vượt qua các hạn chế của sandbox để đọc các tệp nằm ngoài thư mục mount dự kiến.
- CVE-2026-44115 (Điểm CVSS: 8.8): Lỗi danh sách đầu vào không được phép (disallowed inputs) không đầy đủ. Kẻ tấn công có thể vượt qua kiểm tra allowlist bằng cách nhúng các shell expansion token vào thân của một here document (heredoc) để thực thi các lệnh không được phê duyệt khi chạy.
- CVE-2026-44118 (Điểm CVSS: 7.8): Lỗi kiểm soát truy cập không đúng cách, cho phép các loopback client không phải chủ sở hữu giả mạo chủ sở hữu để nâng cao đặc quyền và giành quyền kiểm soát cấu hình gateway, lập lịch cron và quản lý môi trường thực thi.
Cyera cho biết việc khai thác thành công CVE-2026-44112 có thể cho phép kẻ tấn công can thiệp vào cấu hình, cài đặt backdoor và thiết lập quyền kiểm soát lâu dài đối với máy chủ bị xâm nhập. Trong khi đó, CVE-2026-44113 có thể bị lợi dụng để đọc các tệp hệ thống, thông tin đăng nhập và các tài liệu nội bộ.
Kịch bản tấn công theo chuỗi (Exploitation Chain)
Chuỗi khai thác diễn ra qua bốn bước chính:
- Sử dụng plugin độc hại, prompt injection hoặc đầu vào bên ngoài bị xâm nhập để giành quyền thực thi mã bên trong sandbox OpenShell.
- Lợi dụng CVE-2026-44113 và CVE-2026-44115 để làm lộ thông tin đăng nhập, bí mật và các tệp nhạy cảm.
- Khai thác CVE-2026-44118 để giành quyền kiểm soát cấp chủ sở hữu (owner-level) đối với runtime của agent.
- Sử dụng CVE-2026-44112 để cài đặt backdoor hoặc thực hiện các thay đổi cấu hình nhằm duy trì sự hiện diện (persistence).
Nguyên nhân gốc rễ và biện pháp khắc phục
Theo công ty an ninh mạng Cyera, nguyên nhân gốc rễ của CVE-2026-44118 xuất phát từ việc OpenClaw tin tưởng vào một cờ sở hữu do client kiểm soát gọi là senderIsOwner. Cờ này báo hiệu liệu người gọi có được ủy quyền cho các công cụ chỉ dành cho chủ sở hữu hay không mà không xác thực nó với phiên đã được xác thực.
"Môi trường thực thi MCP loopback hiện cấp các token mang danh (bearer tokens) riêng biệt cho chủ sở hữu và người không phải chủ sở hữu, đồng thời xác định senderIsOwner duy nhất từ việc token nào đã xác thực yêu cầu," OpenClaw chi tiết về các bản sửa lỗi. "Header sender-owner có thể bị giả mạo sẽ không còn được phát ra hoặc được tin tưởng nữa."
Sau khi được báo cáo lỗ hổng, tất cả bốn lỗi đã được xử lý trong OpenClaw phiên bản 2026.4.22. Nhà nghiên cứu bảo mật Vladimir Tokarev đã được ghi nhận vì đã phát hiện và báo cáo các vấn đề này. Người dùng được khuyến cáo cập nhật lên phiên bản mới nhất ngay lập tức.
"Bằng cách lợi dụng chính các đặc quyền của agent, kẻ thù có thể truy cập dữ liệu, leo thang đặc quyền và duy trì sự hiện diện - sử dụng agent như 'bàn tay' của chúng bên trong môi trường," Cyera nhận định. "Mỗi bước thực hiện đều giống như hành vi bình thường của agent đối với các biện pháp kiểm soát truyền thống, khiến việc phát hiện trở nên khó khăn hơn đáng kể."
