Cảnh Báo Nguy Hiểm: Khai Thác Lỗ Hổng OpenClaw RCE, Đánh Cắp Dữ Liệu

Nền tảng AI tự động nguồn mở OpenClaw, trước đây được biết đến là MoltBot và ClawdBot, đang đối mặt với một làn sóng khai thác lỗ hổng OpenClaw rộng khắp. Nhiều nhóm tấn công đang tích cực lợi dụng các điểm yếu để triển khai payload độc hại trên quy mô lớn. Sự phổ biến nhanh chóng của OpenClaw kể từ cuối tháng 1 năm 2026 đã biến nó thành mục tiêu có mức độ nghiêm trọng cao trong bối cảnh an ninh mạng.
Tổng quan Kiến trúc OpenClaw và Bối cảnh Khai thác
OpenClaw được phát triển bởi Peter Steinberger, hiện là thành viên của OpenAI. Kiến trúc của nền tảng này được thiết kế để cấp quyền hệ thống đáng kể, cho phép truy cập bộ nhớ liên tục và khả năng tích hợp sâu rộng với các dịch vụ nhạy cảm.
Những đặc điểm này, mặc dù mang lại sức mạnh cho AI tự động, đồng thời cũng khiến OpenClaw trở thành mục tiêu đặc biệt hấp dẫn cho các tác nhân đe dọa muốn thực hiện hành vi đánh cắp dữ liệu hoặc trích xuất thông tin nhạy cảm. Chỉ trong vòng 72 giờ sau khi được triển khai rộng rãi, các nhóm tấn công đã nhanh chóng bắt đầu khai thác lỗ hổng OpenClaw.
Các Lỗ hổng Trọng yếu bị Khai thác
Các lỗ hổng kỹ thuật được xác định và khai thác bao gồm:
- Lỗ hổng Remote Code Execution (RCE) có rủi ro cao: Được định danh là CVE-2026-25253. Lỗ hổng này cho phép kẻ tấn công thực thi mã tùy ý từ xa trên các hệ thống đang chạy OpenClaw. Đây là một lỗ hổng cực kỳ nguy hiểm, có thể dẫn đến việc chiếm quyền kiểm soát hoàn toàn hệ thống.
- Tấn công chuỗi cung ứng (supply chain poisoning): Kẻ tấn công đã chèn mã độc vào các thành phần phần mềm hoặc bản cập nhật của OpenClaw, khiến người dùng vô tình cài đặt các payload độc hại khi tải về các tài nguyên tưởng chừng hợp pháp.
- Thu thập thông tin xác thực: Các giao diện quản trị của OpenClaw bị phơi nhiễm đã trở thành mục tiêu chính để thu thập thông tin đăng nhập, tạo điều kiện cho các cuộc tấn công tiếp theo.
Các Chiến dịch Tấn công Chính nhắm vào OpenClaw
Các nhà phân tích từ Flare đã ghi nhận hơn 30.000 trường hợp cài đặt OpenClaw đã bị xâm nhập. Những trường hợp này được sử dụng vào nhiều mục đích độc hại, bao gồm đánh cắp khóa API, chặn tin nhắn và phân phối phần mềm đánh cắp thông tin qua Telegram cùng các kênh liên lạc độc hại khác.
Chiến dịch "ClawHavoc": Tấn công Chuỗi Cung ứng Phức tạp
Một trong những chiến dịch sớm nhất và gây thiệt hại nặng nề nhất được gọi là "ClawHavoc", được phát hiện vào ngày 29 tháng 1 năm 2026. Đây là một cuộc tấn công chuỗi cung ứng được thiết kế tinh vi, ngụy trang các payload độc hại thành các công cụ tiền điện tử hợp pháp.
Các payload này bao gồm Atomic Stealer (chuyên dụng cho macOS) và các trình ghi nhật ký phím (keyloggers) (dành cho Windows). Người dùng cài đặt từ các script "setup" giả mạo đã vô tình tải về phần mềm đánh cắp thông tin, dẫn đến việc thỏa hiệp toàn diện hệ thống, cho phép kẻ tấn công trích xuất dữ liệu bộ nhớ liên tục và thực hiện di chuyển ngang qua các hệ thống doanh nghiệp. Đây là ví dụ điển hình về việc khai thác lỗ hổng OpenClaw thông qua sự lừa đảo tinh vi.
Khai thác Kỹ năng Tự động qua ClawHub
Vào đầu tháng 2, một chiến dịch thứ hai mang tên "Automated Skill Poisoning Through ClawHub" đã nổi lên thông qua thị trường cộng đồng OpenClaw. Mô hình xuất bản mở của nền tảng và việc thiếu quy trình kiểm tra mã chặt chẽ đã cho phép kẻ tấn công tải lên các "kỹ năng" chứa cửa hậu từ các tài khoản GitHub có vẻ đáng tin cậy, ví dụ như Hightower6eu.
Khi các "kỹ năng" độc hại này được cài đặt, chúng đã thực thi các lệnh shell từ xa, cho phép kẻ tấn công trích xuất OAuth tokens, mật khẩu và khóa API của nạn nhân trong thời gian thực. Chiến dịch này minh họa nguy cơ của việc thiếu kiểm soát an ninh trong môi trường phát triển mở, tạo điều kiện cho các hành vi đánh cắp dữ liệu nhạy cảm.
Mức độ Phơi nhiễm Hệ thống OpenClaw trên Internet
Một cuộc quét diện rộng bằng công cụ Shodan vào ngày 18 tháng 2 năm 2026 đã tiết lộ một con số đáng báo động: hơn 312.000 trường hợp cài đặt OpenClaw đang chạy trên cổng mặc định 18789. Điều đáng lo ngại là nhiều trong số các phiên bản này không được bảo vệ bằng xác thực và phơi bày trực tiếp ra internet.
Sự phơi nhiễm này tạo điều kiện thuận lợi cho các cuộc tấn công. Các triển khai honeypot đã ghi nhận các nỗ lực khai thác lỗ hổng OpenClaw chỉ trong vài phút sau khi một phiên bản được kết nối với internet. Tình hình này cho thấy một lỗ hổng an ninh lớn và dễ dàng bị lạm dụng.
Chỉ số Thỏa hiệp (IOCs) Liên quan đến Khai thác OpenClaw
Các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) liên quan đến các chiến dịch khai thác lỗ hổng OpenClaw bao gồm:
- Malware Payloads:
- Atomic Stealer (phần mềm đánh cắp thông tin cho macOS)
- Keyloggers (phần mềm ghi nhật ký phím cho Windows)
- Tài khoản GitHub đáng ngờ:
- Hightower6eu (được sử dụng để tải lên "kỹ năng" độc hại)
- Cổng dịch vụ bị phơi nhiễm:
- TCP 18789 (cổng mặc định của dịch vụ OpenClaw)
Hướng dẫn Bảo mật và Khuyến nghị Chống Khai thác OpenClaw
Các sự cố liên quan đến OpenClaw đã đánh dấu một bước ngoặt quan trọng trong lĩnh vực an ninh của các tác nhân AI tự chủ. Các nhóm đe dọa có tổ chức đã nhanh chóng thích nghi, vũ khí hóa một hệ sinh thái ban đầu ưu tiên khả năng hơn là các biện pháp an ninh mạng toàn diện.
Khi OpenAI tiếp nhận nhà phát triển chính của OpenClaw, các chuyên gia cảnh báo rằng những vấn đề này làm nổi bật nhu cầu cấp thiết về việc áp dụng các phương pháp tiếp cận security-by-design trong việc phát triển các khung AI tương lai. Điều này có nghĩa là bảo mật phải được tích hợp từ giai đoạn thiết kế ban đầu, không phải là một yếu tố được thêm vào sau.
Một khuyến nghị quan trọng từ Flare tư vấn rằng các công ty hiện đang sử dụng hoặc thử nghiệm trợ lý tự chủ nên thực hiện các biện pháp sau để giảm thiểu rủi ro bị khai thác lỗ hổng OpenClaw:
- Bảo mật thông tin xác thực API: Đảm bảo rằng tất cả các khóa API được lưu trữ và sử dụng một cách an toàn, hạn chế quyền truy cập chỉ cho các dịch vụ cần thiết.
- Cô lập các khối lượng công việc AI: Triển khai các tác nhân AI trong các môi trường được cô lập (isolated environments) để hạn chế khả năng di chuyển ngang của kẻ tấn công trong trường hợp bị xâm nhập.
Tác động lâu dài đến An ninh mạng AI
Sự phức tạp và quy mô của các cuộc tấn công nhằm vào OpenClaw cho thấy một thách thức mới và nghiêm trọng đối với an ninh mạng AI. Việc tích hợp các tính năng AI mạnh mẽ và khả năng tự chủ cần phải đi kèm với các biện pháp bảo mật chặt chẽ ngay từ giai đoạn thiết kế và xuyên suốt vòng đời phát triển.
Sự kiện này là một lời cảnh báo về tiềm năng lớn của việc lạm dụng các hệ thống AI tự chủ nếu không có các quy trình kiểm duyệt, đánh giá bảo mật nghiêm ngặt và các cơ chế bảo vệ mạnh mẽ. Đặc biệt, việc ngăn chặn các cuộc tấn công remote code execution và các hình thức đánh cắp dữ liệu thông qua chuỗi cung ứng là tối quan trọng để bảo vệ các hệ thống AI trong tương lai.







