OpenClaw đã khắc phục một vấn đề bảo mật có mức độ nghiêm trọng cao mà nếu bị khai thác thành công, có thể cho phép một trang web độc hại kết nối với một tác nhân trí tuệ nhân tạo (AI) đang chạy cục bộ và chiếm quyền kiểm soát.
"Điểm yếu của chúng tôi nằm ngay trong hệ thống cốt lõi – không có plugin, không có chợ ứng dụng, không có tiện ích mở rộng do người dùng cài đặt – chỉ là cổng OpenClaw trần trụi, đang hoạt động chính xác như đã tài liệu hóa," Oasis Security cho biết trong một báo cáo được công bố tuần này.
Lỗ hổng này đã được công ty an ninh mạng đặt tên mã là ClawJacked.
Cuộc tấn công giả định mô hình mối đe dọa sau: Một nhà phát triển đã thiết lập và chạy OpenClaw trên máy tính xách tay của họ, với gateway của nó, một máy chủ WebSocket cục bộ, được gắn vào localhost và bảo vệ bằng mật khẩu. Cuộc tấn công bắt đầu khi nhà phát triển truy cập vào một trang web do kẻ tấn công kiểm soát thông qua kỹ thuật xã hội hoặc các phương tiện khác.
Trình tự lây nhiễm sau đó diễn ra theo các bước dưới đây:
- JavaScript độc hại trên trang web mở kết nối WebSocket tới localhost trên cổng gateway của OpenClaw.
- Script brute-forces mật khẩu gateway bằng cách lợi dụng cơ chế giới hạn tốc độ (rate-limiting) bị thiếu.
- Sau khi xác thực thành công với quyền quản trị viên, script âm thầm đăng ký như một thiết bị đáng tin cậy, được gateway tự động phê duyệt mà không có bất kỳ yêu cầu nào từ người dùng.
- Kẻ tấn công giành quyền kiểm soát hoàn toàn tác nhân AI, cho phép chúng tương tác với tác nhân, trích xuất dữ liệu cấu hình, liệt kê các node đã kết nối và đọc nhật ký ứng dụng.
"Bất kỳ trang web nào bạn truy cập đều có thể mở một kết nối tới localhost của bạn. Không giống như các yêu cầu HTTP thông thường, trình duyệt không chặn các kết nối chéo nguồn gốc này," Oasis Security nói. "Vì vậy, khi bạn đang duyệt bất kỳ trang web nào, JavaScript chạy trên trang đó có thể âm thầm mở kết nối tới gateway OpenClaw cục bộ của bạn. Người dùng không thấy gì."
"Sự tin tưởng sai lầm đó có những hậu quả thực sự. gateway đã nới lỏng một số cơ chế bảo mật cho các kết nối cục bộ - bao gồm cả việc âm thầm phê duyệt đăng ký thiết bị mới mà không nhắc nhở người dùng. Thông thường, khi một thiết bị mới kết nối, người dùng phải xác nhận việc ghép nối. Từ localhost, nó là tự động."
Sau khi được tiết lộ một cách có trách nhiệm, OpenClaw đã đưa ra bản vá lỗi trong vòng chưa đầy 24 giờ với phiên bản 2026.2.25 được phát hành vào ngày 26 tháng 2 năm 2026. Người dùng được khuyến cáo nên áp dụng các bản cập nhật mới nhất càng sớm càng tốt, định kỳ kiểm tra quyền truy cập được cấp cho các tác nhân AI và thực thi các biện pháp kiểm soát quản trị phù hợp cho các danh tính không phải con người (còn gọi là agentic).
Các lỗ hổng OpenClaw khác và rủi ro từ tác nhân AI
Sự phát triển này diễn ra trong bối cảnh kiểm tra bảo mật rộng hơn đối với hệ sinh thái OpenClaw, chủ yếu xuất phát từ thực tế là các tác nhân AI có quyền truy cập sâu rộng vào các hệ thống khác nhau và quyền thực hiện các tác vụ trên các công cụ doanh nghiệp, dẫn đến một blast radius lớn hơn đáng kể nếu chúng bị xâm phạm.
Các báo cáo từ Bitsight và NeuralTrust đã chi tiết cách các phiên bản OpenClaw được kết nối với internet tạo ra một bề mặt tấn công mở rộng, với mỗi dịch vụ tích hợp càng làm rộng blast radius và có thể được biến thành vũ khí tấn công bằng cách nhúng prompt injections vào nội dung (ví dụ: email hoặc tin nhắn Slack) được tác nhân xử lý để thực hiện các hành động độc hại.
Việc tiết lộ này diễn ra khi OpenClaw cũng đã vá một lỗ hổng log poisoning cho phép kẻ tấn công ghi nội dung độc hại vào các tệp nhật ký thông qua các yêu cầu WebSocket tới một phiên bản công khai trên cổng TCP 18789.
Vì tác nhân đọc nhật ký của chính nó để khắc phục sự cố, lỗ hổng bảo mật này có thể bị kẻ đe dọa lạm dụng để nhúng indirect prompt injections, dẫn đến những hậu quả không mong muốn. Vấn đề này đã được giải quyết trong phiên bản 2026.2.13, được phát hành vào ngày 14 tháng 2 năm 2026.
"Nếu văn bản được inject được hiểu là thông tin hoạt động có ý nghĩa thay vì đầu vào không đáng tin cậy, nó có thể ảnh hưởng đến các quyết định, đề xuất hoặc hành động tự động," Eye Security cho biết. "Do đó, tác động sẽ không phải là 'instant takeover,' mà là: thao túng lý luận của tác nhân, ảnh hưởng đến các bước khắc phục sự cố, tiết lộ dữ liệu tiềm ẩn nếu tác nhân được hướng dẫn để tiết lộ ngữ cảnh, và lạm dụng gián tiếp các tích hợp được kết nối."
Trong những tuần gần đây, OpenClaw cũng đã được phát hiện dễ bị tấn công bởi nhiều lỗ hổng (CVE-2026-25593, CVE-2026-24763, CVE-2026-25157, CVE-2026-25475, CVE-2026-26319, CVE-2026-26322, CVE-2026-26329), từ mức độ nghiêm trọng trung bình đến cao, có thể dẫn đến remote code execution, command injection, server-side request forgery (SSRF), authentication bypass và path traversal. Các lỗ hổng này đã được khắc phục trong các phiên bản OpenClaw 2026.1.20, 2026.1.29, 2026.2.1, 2026.2.2, và 2026.2.14.
"Khi các framework tác nhân AI ngày càng trở nên phổ biến trong môi trường doanh nghiệp, phân tích bảo mật phải phát triển để giải quyết cả các lỗ hổng truyền thống và các bề mặt tấn công dành riêng cho AI," Endor Labs cho biết.
Các kỹ năng độc hại trên ClawHub và chiến dịch phát tán mã độc
Ở một diễn biến khác, nghiên cứu mới đã chứng minh rằng các kỹ năng độc hại được tải lên ClawHub, một chợ ứng dụng mở để tải xuống các kỹ năng OpenClaw, đang được sử dụng làm phương tiện để phân phối một biến thể mới của Atomic Stealer, một information stealer trên macOS được phát triển và cho thuê bởi một tác nhân tội phạm mạng được gọi là Cookie Spider.
"Chuỗi lây nhiễm bắt đầu bằng một tệp SKILL.md thông thường cài đặt một điều kiện tiên quyết," Trend Micro cho biết. "Kỹ năng này có vẻ vô hại trên bề mặt và thậm chí còn được dán nhãn là lành tính trên VirusTotal. Sau đó, OpenClaw truy cập trang web, tìm nạp hướng dẫn cài đặt và tiến hành cài đặt nếu LLM quyết định làm theo hướng dẫn."
Các hướng dẫn được lưu trữ trên trang web "openclawcli.vercel[.]app" bao gồm một lệnh độc hại để tải xuống payload stealer từ một máy chủ bên ngoài ("91.92.242[.]30") và chạy nó.
Các thợ săn mối đe dọa cũng đã cảnh báo về một chiến dịch phát tán mã độc mới, trong đó một tác nhân đe dọa có tên @liuhui1010 đã được xác định, để lại bình luận trên các trang danh sách kỹ năng hợp pháp, thúc giục người dùng chạy rõ ràng một lệnh mà họ cung cấp trên ứng dụng Terminal nếu kỹ năng "không hoạt động trên macOS."
Lệnh này được thiết kế để truy xuất Atomic Stealer từ "91.92.242[.]30", một địa chỉ IP trước đây đã được Koi Security và OpenSourceMalware ghi nhận là phân phối cùng một mã độc thông qua các kỹ năng độc hại được tải lên ClawHub.
Hơn nữa, một phân tích gần đây về 3.505 kỹ năng ClawHub của công ty bảo mật AI Straiker đã phát hiện không dưới 71 kỹ năng độc hại, một số trong đó giả dạng công cụ tiền điện tử hợp pháp nhưng chứa chức năng ẩn để chuyển hướng quỹ đến các ví do kẻ tấn công kiểm soát.
Hai kỹ năng khác, bob-p2p-beta và runware, đã được quy cho một vụ lừa đảo tiền điện tử đa tầng sử dụng chuỗi tấn công agent-to-agent nhắm vào hệ sinh thái tác nhân AI. Các kỹ năng này được quy cho một tác nhân đe dọa hoạt động dưới các bí danh "26medias" trên ClawHub và "BobVonNeumann" trên Moltbook và X.
"BobVonNeumann tự giới thiệu mình là một tác nhân AI trên Moltbook, một mạng xã hội được thiết kế cho các tác nhân tương tác với nhau," các nhà nghiên cứu Yash Somalkar và Dan Regalado cho biết. "Từ vị trí đó, nó quảng bá các kỹ năng độc hại của riêng mình trực tiếp cho các tác nhân khác, khai thác sự tin tưởng mà các tác nhân được thiết kế để mở rộng cho nhau theo mặc định. Đó là một cuộc tấn công chuỗi cung ứng với lớp kỹ thuật xã hội được xây dựng bên trên."
Tuy nhiên, những gì bob-p2p-beta làm là hướng dẫn các tác nhân AI khác lưu trữ khóa riêng ví Solana ở dạng plaintext, mua các token $BOB vô giá trị trên pump.fun và định tuyến tất cả các khoản thanh toán thông qua cơ sở hạ tầng do kẻ tấn công kiểm soát. Kỹ năng thứ hai tuyên bố cung cấp một công cụ tạo hình ảnh lành tính để xây dựng độ tin cậy của nhà phát triển.
Do ClawHub đang trở thành mảnh đất màu mỡ mới cho kẻ tấn công, người dùng được khuyến cáo nên kiểm tra các kỹ năng trước khi cài đặt chúng, tránh cung cấp thông tin đăng nhập và khóa trừ khi thực sự cần thiết, và theo dõi hành vi của kỹ năng.
Khuyến nghị bảo mật và cảnh báo từ Microsoft
Những rủi ro bảo mật liên quan đến các runtime tác nhân tự lưu trữ như OpenClaw cũng đã thúc đẩy Microsoft đưa ra một khuyến cáo, cảnh báo rằng việc triển khai không được bảo vệ có thể mở đường cho credential exposure/exfiltration, memory modification và host compromise nếu tác nhân có thể bị lừa lấy và chạy mã độc thông qua poisoned skills hoặc prompt injections.
"Vì những đặc điểm này, OpenClaw nên được coi là thực thi mã không đáng tin cậy với persistent credentials," Nhóm nghiên cứu bảo mật Microsoft Defender cho biết. "Không phù hợp để chạy trên một máy trạm cá nhân hoặc doanh nghiệp tiêu chuẩn."
"Nếu một tổ chức xác định rằng OpenClaw phải được đánh giá, nó chỉ nên được triển khai trong một môi trường hoàn toàn cô lập như một máy ảo chuyên dụng hoặc một hệ thống vật lý riêng biệt. Runtime nên sử dụng các thông tin đăng nhập chuyên dụng, không có đặc quyền và chỉ truy cập dữ liệu không nhạy cảm. Giám sát liên tục và kế hoạch xây dựng lại nên là một phần của mô hình hoạt động."
