OpenClaw (trước đây là Moltbot và Clawdbot) đã thông báo rằng họ đang hợp tác với VirusTotal, thuộc sở hữu của Google, để quét các skill được tải lên ClawHub, chợ skill của mình. Đây là một phần trong nỗ lực rộng lớn hơn nhằm tăng cường bảo mật cho hệ sinh thái tác nhân.
"Tất cả các skill được xuất bản lên ClawHub hiện đều được quét bằng thông tin tình báo về mối đe dọa của VirusTotal, bao gồm cả khả năng Code Insight mới của họ," Peter Steinberger, người sáng lập OpenClaw, cùng với Jamieson O'Reilly và Bernardo Quintero cho biết. "Điều này cung cấp một lớp bảo mật bổ sung cho cộng đồng OpenClaw."
Quy trình này về cơ bản bao gồm việc tạo một SHA-256 hash duy nhất cho mỗi skill và kiểm tra chéo nó với cơ sở dữ liệu của VirusTotal để tìm sự trùng khớp. Nếu không tìm thấy, gói skill sẽ được tải lên công cụ quét malware để phân tích thêm bằng cách sử dụng VirusTotal Code Insight.
Các skill có đánh giá Code Insight là "benign" sẽ tự động được ClawHub chấp thuận, trong khi những skill bị đánh dấu là đáng ngờ sẽ bị gắn cờ cảnh báo. Bất kỳ skill nào được coi là độc hại sẽ bị chặn tải xuống. OpenClaw cũng cho biết tất cả các skill đang hoạt động đều được quét lại hàng ngày để phát hiện các trường hợp một skill trước đây sạch sẽ trở nên độc hại.
Mặc dù vậy, những người duy trì OpenClaw cũng cảnh báo rằng việc quét bằng VirusTotal "không phải là một silver bullet" và có khả năng một số skill độc hại sử dụng payload prompt injection được che giấu khéo léo có thể lọt qua được.
Ngoài quan hệ đối tác với VirusTotal, nền tảng này dự kiến sẽ công bố một threat model toàn diện, public security roadmap, formal security reporting process, cũng như chi tiết về cuộc kiểm toán bảo mật toàn bộ codebase của mình.
Sự phát triển này diễn ra sau các báo cáo đã tìm thấy hàng trăm skill độc hại trên ClawHub, khiến OpenClaw phải bổ sung tùy chọn báo cáo cho phép người dùng đã đăng nhập gắn cờ một skill đáng ngờ. Nhiều phân tích đã phát hiện ra rằng những skill này giả mạo các công cụ hợp pháp, nhưng thực chất, chúng chứa chức năng độc hại để exfiltrate dữ liệu, inject backdoors để truy cập từ xa, hoặc cài đặt stealer malware.
"Các AI agent có system access có thể trở thành các kênh rò rỉ dữ liệu bí mật, vượt qua các biện pháp data loss prevention truyền thống, proxies và endpoint monitoring," Cisco lưu ý vào tuần trước. "Thứ hai, các models cũng có thể trở thành một execution orchestrator, trong đó bản thân prompt trở thành instruction và rất khó bị phát hiện bằng các security tooling truyền thống."
Sự phổ biến nhanh chóng gần đây của OpenClaw, trợ lý AI agent mã nguồn mở, và Moltbook, một mạng xã hội liền kề nơi các AI agent tự động được xây dựng trên OpenClaw tương tác với nhau theo phong cách Reddit, đã làm dấy lên lo ngại về bảo mật.
Trong khi OpenClaw functions như một automation engine để trigger workflows, tương tác với các online services, và operate across devices, quyền truy cập sâu rộng được cấp cho các skill, coupled với việc chúng có thể process data từ untrusted sources, có thể mở ra cánh cửa cho các risks như malware và prompt injection.
Nói cách khác, các integrations, mặc dù tiện lợi, nhưng lại broaden đáng kể attack surface và expand the set of untrusted inputs mà agent consumes, turning it into an "agentic trojan horse" cho data exfiltration và các malicious actions khác. Backslash Security đã mô tả OpenClaw là một "AI With Hands."
"Không giống như phần mềm truyền thống chỉ làm chính xác những gì code yêu cầu, các AI agent interpret natural language và make decisions về actions," OpenClaw lưu ý. "Chúng blur the boundary giữa user intent và machine execution. Chúng có thể bị manipulated thông qua chính language."
OpenClaw cũng acknowledged rằng the power wielded by skills – which are used to extend the capabilities của một AI agent, such as controlling smart home devices to managing finances – can be abused bởi bad actors, who can leverage the agent's access to tools and data để exfiltrate sensitive information, execute unauthorized commands, send messages on the victim's behalf, và even download và run additional payloads mà không có knowledge hoặc consent của họ.
What's more, với OpenClaw being increasingly deployed trên employee endpoints mà không có formal IT hoặc security approval, các elevated privileges của những agent này có thể further enable shell access, data movement, và network connectivity outside standard security controls, creating a new class of Shadow AI risk cho enterprises.
"OpenClaw và các tools like it will show up trong organization của bạn whether you approve them or not," Astrix Security researcher Tomer Yahalom cho biết. "Employees will install them because they're genuinely useful. The only question is whether you'll know about it."
Một số vấn đề bảo mật đáng chú ý của OpenClaw
- Một vấn đề now-fixed được identified trong earlier versions that could cause proxied traffic to be misclassified as local, bypassing authentication cho some internet-exposed instances.
- Một zero-click attack lạm dụng các integrations của OpenClaw để plant a backdoor trên endpoint của victim cho persistent control khi một seemingly harmless document được processed bởi the AI agent, resulting in the execution of an indirect prompt injection payload that allows it to respond to messages từ an attacker-controlled Telegram bot.
- Một indirect prompt injection embedded in a web page, which, when parsed as part of an innocuous prompt asking the large language model (LLM) to summarize the page's contents, causes OpenClaw to append an attacker-controlled set of instructions to the ~/.openclaw/workspace/HEARTBEAT.md file and silently await further commands từ an external server.
- Một security analysis of 3,984 skills trên ClawHub marketplace đã found that 283 skills, khoảng 7.1% của the entire registry, contain critical security flaws that expose sensitive credentials in plaintext through the LLM's context window và output logs.
- Một report từ Bitdefender đã revealed rằng malicious skills are often cloned và re-published at scale using small name variations, và that payloads are staged through paste services such as glot.io và public GitHub repositories.
- Một now-patched one-click remote code execution vulnerability affecting OpenClaw that could have allowed an attacker to trick a user into visiting a malicious web page that could cause the Gateway Control UI to leak the OpenClaw authentication token over a WebSocket channel và subsequently use it to execute arbitrary commands trên the host.
- Gateway của OpenClaw binds to 0.0.0.0:18789 by default, exposing the full API to any network interface. Per data từ Censys, there are over 30,000 exposed instances accessible over the internet as of February 8, 2026, although most require a token value in order to view và interact with them.
- Trong một hypothetical attack scenario, a prompt injection payload embedded within a specifically crafted WhatsApp message can be used to exfiltrate ".env" và "creds.json" files, which store credentials, API keys, và session tokens cho connected messaging platforms từ an exposed OpenClaw instance.
- Một misconfigured Supabase database belonging to Moltbook that was left exposed in client-side JavaScript, making secret API keys của every agent registered on the site freely accessible, và allowing full read và write access to platform data. Theo Wiz, the exposure included 1.5 million API authentication tokens, 35,000 email addresses, và private messages between agents.
- Threat actors đã được found exploiting Moltbook's platform mechanics to amplify reach và funnel other agents toward malicious threads that contain prompt injections to manipulate their behavior và extract sensitive data hoặc steal cryptocurrency.
"OpenClaw stores credentials in cleartext, uses insecure coding patterns bao gồm direct eval với user input, và has no privacy policy hoặc clear accountability," Moshe Siman Tov Bustan và Nir Zadok của OX Security cho biết. "Common uninstall methods leave sensitive data behind – và fully revoking access is far harder than most users realize."
"Moltbook may have inadvertently also created a laboratory in which agents, which can be high-value targets, are constantly processing và engaging with untrusted data, và in which guardrails aren’t set into the platform – all by design," Zenity Labs cho biết.
"The first, and perhaps most egregious, issue is that OpenClaw relies on the configured language model cho many security-critical decisions," HiddenLayer researchers Conor McCauley, Kasimir Schulz, Ryan Tracey, và Jason Martin noted. "Unless the user proactively enables OpenClaw's Docker-based tool sandboxing feature, full system-wide access remains the default."
Among other architectural và design problems identified bởi the AI security company are OpenClaw's failure to filter out untrusted content containing control sequences, ineffective guardrails against indirect prompt injections, modifiable memories và system prompts that persist into future chat sessions, plaintext storage của API keys và session tokens, và no explicit user approval before executing tool calls.
Trong một report published last week, Persmiso Security argued that the security of the OpenClaw ecosystem is much more crucial than app stores và browser extension marketplaces owing to the agents' extensive access to user data.
"Các AI agent get credentials to your entire digital life," security researcher Ian Ahl chỉ ra. "Và unlike browser extensions that run in a sandbox with some level of isolation, these agents operate with the full privileges you grant them."
"The skills marketplace compounds this. When you install a malicious browser extension, you're compromising one system. When you install a malicious agent skill, you're potentially compromising every system that agent has credentials for."
The long list of security issues associated với OpenClaw has prompted China's Ministry of Industry and Information Technology to issue an alert about misconfigured instances, urging users to implement protections to secure against cyber attacks và data breaches, Reuters đã reported.
"When agent platforms go viral faster than security practices mature, misconfiguration becomes the primary attack surface," Ensar Seker, CISO tại SOCRadar, told The Hacker News via email. "The risk isn't the agent itself; it’s exposing autonomous tooling to public networks without hardened identity, access control, và execution boundaries."
"What's notable here is that the Chinese regulator is explicitly calling out configuration risk rather than banning the technology. That aligns with what defenders already know: agent frameworks amplify both productivity và blast radius. A single exposed endpoint or overly permissive plugin can turn an AI agent into an unintentional automation layer cho attackers."
