OpenClaw đã khắc phục một vấn đề bảo mật nghiêm trọng mà nếu bị khai thác thành công, có thể cho phép một trang web độc hại kết nối với AI agent chạy cục bộ và chiếm quyền kiểm soát.
"Điểm yếu của chúng tôi nằm ngay trong hệ thống cốt lõi – không có plugin, không marketplace, không tiện ích mở rộng do người dùng cài đặt – chỉ là gateway OpenClaw thuần túy, chạy đúng như tài liệu," Oasis Security cho biết trong một báo cáo được công bố tuần này.
Lỗ hổng này được công ty an ninh mạng đặt tên mã là ClawJacked.
Lỗ hổng ClawJacked chi tiết
Cuộc tấn công giả định mô hình mối đe dọa sau: Một nhà phát triển đã thiết lập và chạy OpenClaw trên máy tính xách tay của họ, với gateway của nó, một máy chủ WebSocket cục bộ, được liên kết với localhost và được bảo vệ bằng mật khẩu. Cuộc tấn công bắt đầu khi nhà phát triển truy cập vào một trang web do kẻ tấn công kiểm soát thông qua social engineering hoặc một phương tiện nào đó khác.
Trình tự lây nhiễm sau đó diễn ra theo các bước dưới đây:
- JavaScript độc hại trên trang web mở kết nối WebSocket tới localhost trên cổng gateway OpenClaw.
- Script brute-forces mật khẩu gateway bằng cách lợi dụng cơ chế rate-limiting bị thiếu.
- Sau khi xác thực thành công với quyền quản trị viên, script âm thầm đăng ký như một thiết bị đáng tin cậy, được gateway tự động chấp thuận mà không cần bất kỳ thông báo nào cho người dùng.
- Kẻ tấn công giành quyền kiểm soát hoàn toàn AI agent, cho phép chúng tương tác với nó, trích xuất dữ liệu cấu hình, liệt kê các node đã kết nối và đọc nhật ký ứng dụng.
"Bất kỳ trang web nào bạn truy cập cũng có thể mở một kết nối tới localhost của bạn. Không giống như các yêu cầu HTTP thông thường, trình duyệt không chặn các kết nối cross-origin này," Oasis Security cho biết. "Vì vậy, khi bạn đang duyệt bất kỳ trang web nào, JavaScript chạy trên trang đó có thể âm thầm mở kết nối tới gateway OpenClaw cục bộ của bạn. Người dùng không thấy gì."
"Sự tin tưởng đặt sai chỗ đó có những hậu quả thực sự. Gateway nới lỏng một số cơ chế bảo mật cho các kết nối cục bộ - bao gồm việc âm thầm phê duyệt đăng ký thiết bị mới mà không nhắc nhở người dùng. Thông thường, khi một thiết bị mới kết nối, người dùng phải xác nhận việc ghép nối. Từ localhost, nó tự động."
Sau khi công bố có trách nhiệm, OpenClaw đã tung ra bản vá trong vòng chưa đầy 24 giờ với phiên bản 2026.2.25 được phát hành vào ngày 26 tháng 2 năm 2026. Người dùng được khuyến nghị áp dụng các bản cập nhật mới nhất càng sớm càng tốt, thường xuyên kiểm tra quyền truy cập được cấp cho AI agent và thực thi các kiểm soát quản trị phù hợp cho các định danh phi con người (còn gọi là agentic).
Các rủi ro bảo mật khác trong hệ sinh thái OpenClaw
Sự phát triển này diễn ra trong bối cảnh giám sát an ninh rộng hơn đối với hệ sinh thái OpenClaw, chủ yếu xuất phát từ thực tế là các AI agent có quyền truy cập sâu rộng vào các hệ thống khác nhau và quyền thực hiện các tác vụ trên các công cụ doanh nghiệp, dẫn đến một blast radius lớn hơn đáng kể nếu chúng bị xâm nhập.
Các báo cáo từ Bitsight và NeuralTrust đã nêu chi tiết cách các instance OpenClaw bị kết nối với internet tạo ra một attack surface mở rộng, với mỗi dịch vụ tích hợp làm rộng thêm blast radius và có thể được biến thành vũ khí tấn công bằng cách nhúng prompt injections vào nội dung (ví dụ: email hoặc tin nhắn Slack) được AI agent xử lý để thực hiện các hành động độc hại.
Lỗ hổng log poisoning
Thông tin tiết lộ này cũng cho biết OpenClaw đã vá một lỗ hổng log poisoning cho phép kẻ tấn công ghi nội dung độc hại vào các tệp nhật ký thông qua các yêu cầu WebSocket tới một instance có thể truy cập công khai trên cổng TCP 18789.
Vì AI agent đọc nhật ký của chính nó để khắc phục một số tác vụ nhất định, lỗ hổng bảo mật này có thể bị kẻ tấn công lợi dụng để nhúng indirect prompt injections, dẫn đến những hậu quả không mong muốn. Vấn đề này đã được khắc phục trong phiên bản 2026.2.13, được phát hành vào ngày 14 tháng 2 năm 2026.
"Nếu văn bản được inject được hiểu là thông tin hoạt động có ý nghĩa hơn là untrusted input, nó có thể ảnh hưởng đến các quyết định, đề xuất hoặc hành động tự động," Eye Security cho biết. "Do đó, tác động sẽ không phải là 'instant takeover,' mà là: thao túng lý luận của AI agent, ảnh hưởng đến các bước khắc phục sự cố, khả năng tiết lộ dữ liệu nếu AI agent được hướng dẫn để tiết lộ context, và lạm dụng gián tiếp các tích hợp đã kết nối."
Nhiều lỗ hổng khác đã được vá
Trong những tuần gần đây, OpenClaw cũng được phát hiện dễ bị tấn công bởi nhiều lỗ hổng (CVE-2026-25593, CVE-2026-24763, CVE-2026-25157, CVE-2026-25475, CVE-2026-26319, CVE-2026-26322, CVE-2026-26329), từ mức độ nghiêm trọng trung bình đến cao, có thể dẫn đến remote code execution, command injection, server-side request forgery (SSRF), authentication bypass và path traversal. Các lỗ hổng này đã được khắc phục trong các phiên bản OpenClaw 2026.1.20, 2026.1.29, 2026.2.1, 2026.2.2 và 2026.2.14.
"Khi các framework AI agent trở nên phổ biến hơn trong môi trường doanh nghiệp, phân tích bảo mật phải phát triển để giải quyết cả các lỗ hổng truyền thống và các attack surface cụ thể của AI," Endor Labs cho biết.
Các skill độc hại trên ClawHub
Ở một diễn biến khác, nghiên cứu mới đã chỉ ra rằng các skill độc hại được tải lên ClawHub, một marketplace mở để tải xuống các skill OpenClaw, đang được sử dụng làm phương tiện để phân phối một biến thể mới của Atomic Stealer, một information stealer trên macOS được phát triển và cho thuê bởi một tác nhân tội phạm mạng được gọi là Cookie Spider.
"Chuỗi lây nhiễm bắt đầu bằng một tệp SKILL.md thông thường cài đặt một prerequisite," Trend Micro cho biết. "Skill này có vẻ vô hại trên bề mặt và thậm chí còn được dán nhãn là lành tính trên VirusTotal. OpenClaw sau đó truy cập trang web, tìm nạp hướng dẫn cài đặt và tiến hành cài đặt nếu LLM quyết định làm theo hướng dẫn."
Các hướng dẫn được lưu trữ trên trang web "openclawcli.vercel[.]app" bao gồm một lệnh độc hại để tải xuống payload stealer từ một máy chủ bên ngoài ("91.92.242[.]30") và chạy nó.
Các thợ săn mối đe dọa cũng đã phát hiện một chiến dịch phân phối mã độc mới, trong đó một tác nhân đe dọa có tên @liuhui1010 đã được xác định, để lại bình luận trên các trang liệt kê skill hợp pháp, thúc giục người dùng chạy rõ ràng một lệnh mà họ cung cấp trong ứng dụng Terminal nếu skill "không hoạt động trên macOS."
Lệnh này được thiết kế để truy xuất Atomic Stealer từ "91.92.242[.]30," một địa chỉ IP đã được Koi Security và OpenSourceMalware ghi nhận trước đây để phân phối cùng một malware thông qua các skill độc hại được tải lên ClawHub.
Hơn nữa, một phân tích gần đây về 3.505 skill ClawHub của công ty bảo mật AI Straiker đã tiết lộ không dưới 71 skill độc hại, một số trong đó được ngụy trang thành các công cụ tiền điện tử hợp pháp nhưng chứa chức năng ẩn để chuyển hướng tiền đến các ví do tác nhân đe dọa kiểm soát.
Hai skill khác, bob-p2p-beta và runware, đã được quy cho một vụ lừa đảo tiền điện tử đa tầng sử dụng chuỗi tấn công agent-to-agent nhắm vào hệ sinh thái AI agent. Các skill này đã được quy cho một tác nhân đe dọa hoạt động dưới biệt danh "26medias" trên ClawHub và "BobVonNeumann" trên Moltbook và X.
"BobVonNeumann tự giới thiệu mình là một AI agent trên Moltbook, một mạng xã hội được thiết kế cho các AI agent tương tác với nhau," các nhà nghiên cứu Yash Somalkar và Dan Regalado cho biết. "Từ vị trí đó, nó quảng bá các skill độc hại của riêng mình trực tiếp cho các AI agent khác, khai thác sự tin tưởng mà các AI agent được thiết kế để mở rộng cho nhau theo mặc định. Đó là một supply chain attack với một lớp social engineering được xây dựng trên đó."
Tuy nhiên, những gì bob-p2p-beta làm là hướng dẫn các AI agent khác lưu trữ private keys của ví Solana ở dạng plaintext, mua các token $BOB vô giá trị trên pump.fun và định tuyến tất cả các khoản thanh toán qua một hạ tầng do kẻ tấn công kiểm soát. Skill thứ hai tuyên bố cung cấp một công cụ tạo ảnh lành tính để xây dựng uy tín của nhà phát triển.
Với việc ClawHub đang trở thành một mảnh đất màu mỡ mới cho kẻ tấn công, người dùng được khuyến nghị kiểm tra kỹ các skill trước khi cài đặt, tránh cung cấp credentials và keys trừ khi cần thiết, và giám sát hành vi của skill.
Khuyến nghị bảo mật từ Microsoft
Các rủi ro bảo mật liên quan đến các agent runtimes tự host như OpenClaw cũng đã khiến Microsoft đưa ra một khuyến cáo, cảnh báo rằng việc triển khai không được bảo vệ có thể mở đường cho credential exposure/exfiltration, memory modification và host compromise nếu AI agent có thể bị lừa để truy xuất và chạy mã độc hại thông qua các poisoned skills hoặc prompt injections.
"Vì những đặc điểm này, OpenClaw nên được coi là untrusted code execution với persistent credentials," Nhóm nghiên cứu bảo mật Microsoft Defender cho biết. "Nó không phù hợp để chạy trên một máy trạm cá nhân hoặc doanh nghiệp tiêu chuẩn."
"Nếu một tổ chức xác định rằng OpenClaw phải được đánh giá, nó chỉ nên được triển khai trong một môi trường hoàn toàn cô lập như một máy ảo chuyên dụng hoặc hệ thống vật lý riêng biệt. Runtime nên sử dụng credentials chuyên dụng, không có đặc quyền và chỉ truy cập dữ liệu không nhạy cảm. Giám sát liên tục và kế hoạch xây dựng lại nên là một phần của mô hình hoạt động."
