An ninh mạng: Lỗ hổng OpenClaw nghiêm trọng sau lệnh cấm AI Google

Google đã đình chỉ quyền truy cập vào nền tảng AI Antigravity của mình đối với nhiều người dùng của công cụ mã nguồn mở OpenClaw, gây ra phản ứng dữ dội về việc thực thi điều khoản dịch vụ (ToS) một cách mạnh mẽ. Sự kiện này nêu bật những thách thức trong việc quản lý tài nguyên AI và các rủi ro bảo mật liên quan đến tích hợp của bên thứ ba trong bối cảnh an ninh mạng ngày càng phức tạp.

Hành động này nhắm vào các nhà phát triển đang tận dụng plugin OAuth của OpenClaw để khai thác các token mô hình Gemini được trợ cấp, điều này đã gây ra sự tăng vọt tải trọng phía backend và làm suy giảm chất lượng dịch vụ.

Vi phạm Điều khoản Dịch vụ và Cơ chế Phát hiện

OpenClaw, ra mắt vào tháng 11 năm 2025, đã nhanh chóng trở nên phổ biến với hơn 219.000 lượt gắn sao trên GitHub. Công cụ này cho phép các tác nhân AI cục bộ thực hiện các tác vụ như quản lý email và duyệt web.

Người dùng đã xác thực thông qua Antigravity của Google, nền tảng AI Gemini dành cho nhà phát triển, để truy cập các mô hình cao cấp như Gemini 2.5 Pro với chi phí giảm, bỏ qua các kênh chính thức.

Sự tích hợp bên thứ ba này đã vi phạm ToS của Google bằng cách sử dụng cơ sở hạ tầng Antigravity để hỗ trợ các sản phẩm không thuộc Antigravity. Điều này dẫn đến các mẫu “sử dụng độc hại” (malicious usage) được hệ thống tự động gắn cờ.

Hậu quả của Lệnh Cấm Hàng loạt

Các báo cáo xuất hiện vào giữa tháng 2 năm 2026 trên Diễn đàn Nhà phát triển AI của Google, nơi những người đăng ký AI Ultra trả 249,99 đô la mỗi tháng đã phải đối mặt với các lỗi 403 đột ngột và bị hạn chế tài khoản hoàn toàn mà không có cảnh báo.

Người dùng bị ảnh hưởng không chỉ mất quyền truy cập Antigravity và Gemini CLI mà trong một số trường hợp, còn bị mất quyền truy cập vào Gmail, Workspace và thậm chí là lịch sử tài khoản có từ hàng thập kỷ, gây ra những cáo buộc về sự lạm dụng quyền hạn.

Varun Mohan, Trưởng nhóm sản phẩm Google DeepMind, đã công khai giải quyết vấn đề này trên X (trước đây là Twitter). Ông tuyên bố rằng việc sử dụng vượt mức đã “làm suy giảm đáng kể chất lượng dịch vụ cho người dùng”.

Ông nhấn mạnh việc ưu tiên “người dùng thực sự” trong khi đưa ra một con đường khôi phục hạn chế cho những người vi phạm không ý thức, trong bối cảnh hạn chế về năng lực. Ông cũng làm rõ rằng chỉ quyền sử dụng sản phẩm Antigravity bị chặn, các dịch vụ Google khác không bị ảnh hưởng.

Hành động cứng rắn này tương tự như bản cập nhật ToS gần đây của Anthropic, trong đó cấm rõ ràng OAuth của bên thứ ba trong các công cụ như OpenClaw, với lý do khai thác token và các vấn đề gỡ lỗi từ lưu lượng truy cập bất thường. Đây là một điểm đáng lưu ý trong bức tranh tổng thể về an ninh mạng của các nền tảng AI.

Lỗ hổng Bảo mật trong OpenClaw

Các chuyên gia an ninh mạng đã cảnh báo về những lỗ hổng trong OpenClaw, làm trầm trọng thêm hậu quả. Có hơn 21.000 instance bị phơi nhiễm dễ bị tấn công bởi infostealer nhắm mục tiêu vào các tệp cấu hình.

Ngoài ra, còn có nguy cơ từ các cuộc tấn công chuỗi cung ứng. Những lỗ hổng này tiềm ẩn nguy cơ remote code execution, cho phép kẻ tấn công thực thi mã độc từ xa và chiếm quyền kiểm soát hệ thống.

Bộ công nghiệp của một quốc gia lớn đã cảnh báo về những rủi ro bảo mật từ các hệ thống được cấu hình sai có thể tạo điều kiện cho các cuộc tấn công mạng và rò rỉ dữ liệu. Điều này nhấn mạnh tính hai mặt của AI tác nhân.

Minh họa Nguy cơ từ Cấu hình Sai

Một hệ thống OpenClaw được cấu hình không đúng cách có thể phơi bày các tệp nhạy cảm. Ví dụ, việc bỏ qua các bước bảo mật cơ bản khi triển khai có thể dẫn đến việc lộ thông tin xác thực API hoặc khóa truy cập.

Kẻ tấn công có thể quét các cổng mở và tìm kiếm các instance OpenClaw không được bảo vệ để truy cập các tệp cấu hình. Ví dụ về thông tin bị lộ trong các tệp cấu hình bao gồm:

• Khóa API của Gemini/Antigravity
• Thông tin đăng nhập dịch vụ email
• Tên người dùng và mật khẩu ứng dụng web

Từ đó, chúng có thể thực hiện chiếm quyền điều khiển các tài khoản liên kết hoặc sử dụng tài nguyên AI một cách trái phép.

Phản ứng Cộng đồng và Định hình Tương lai của AI

Peter Steinberger, người tạo ra OpenClaw và gần đây đã gia nhập OpenAI để phát triển các tác nhân cá nhân, đã lên án lệnh cấm “độc đoán” của Google. Ông đã công bố kế hoạch loại bỏ hỗ trợ Antigravity.

Trong khi Google thực thi các quy tắc nghiêm ngặt, Anthropic có cách tiếp cận khác. Steinberger lưu ý rằng Anthropic thường liên hệ một cách lịch sự để giải quyết các vấn đề, trái ngược với hành động của Google.

Cộng đồng đang chuyển hướng sang các fork phát triển mạnh mẽ như Nanobot và IronClaw. Trong khi đó, OpenAI lại ủng hộ các công cụ khai thác của bên thứ ba, làm mở rộng khoảng cách cạnh tranh.

Cuộc chiến giành ảnh hưởng này báo hiệu một sự chuyển dịch sang các hệ sinh thái AI đóng. Điều này buộc các nhà phát triển phải cân nhắc giữa sự tiện lợi, tuân thủ ToS và các hiểm họa rủi ro bảo mật tiềm ẩn.

Khi các tác nhân AI phát triển mạnh mẽ, những biện pháp thực thi như vậy nhắc nhở người dùng rằng quyền truy cập được trợ cấp thường ẩn chứa các chi phí backend. Các đợt cấm có thể xóa sổ các công cụ năng suất chỉ sau một đêm. Việc chủ động trong việc quản lý an ninh mạng là điều tối quan trọng.