Lỗ hổng zero-day OpenClaw: Nguy hiểm chiếm quyền AI agent

Một lỗ hổng zero-day nghiêm trọng, không yêu cầu tương tác, đã được phát hiện trong OpenClaw, một trong những framework AI agent mã nguồn mở phát triển nhanh nhất. Lỗ hổng này cho phép bất kỳ website độc hại nào âm thầm chiếm toàn quyền điều khiển AI agent của nhà phát triển mà không cần plugin, tiện ích mở rộng hay bất kỳ hành động nào từ người dùng.

OpenClaw: AI Agent Đa Năng và Khả Năng Xâm Nhập

OpenClaw, trước đây được biết đến với tên Clawdbot và MoltBot, là một AI agent tự lưu trữ. Công cụ này đã đạt hơn 100.000 GitHub stars chỉ trong năm ngày.

Nó đã trở thành trợ lý cá nhân mặc định cho hàng nghìn nhà phát triển trên toàn thế giới. Công cụ này chạy cục bộ trên laptop của nhà phát triển, kết nối với các ứng dụng nhắn tin, lịch, công cụ phát triển và hệ thống tệp cục bộ.

OpenClaw thực hiện các hành động tự động thay mặt người dùng. Quyền truy cập rộng rãi này chính là điều khiến lỗ hổng zero-day này trở nên đặc biệt nguy hiểm.

Cơ Chế Hoạt Động và Điều Kiện Khai Thác

OpenClaw và Cổng WebSocket Cục Bộ

OpenClaw hoạt động thông qua một cổng WebSocket cục bộ gắn với localhost, đóng vai trò là lớp điều phối trung tâm cho agent. Các “node” được kết nối, như ứng dụng đồng hành macOS, thiết bị iOS hoặc các máy khác, đăng ký với gateway.

Các node này cung cấp nhiều khả năng, bao gồm thực thi lệnh hệ thống, truy cập tệp và đọc danh bạ.

Điều Kiện Tấn Công và Chuỗi Khai Thác

Cuộc tấn công chỉ yêu cầu một điều kiện duy nhất: nhà phát triển truy cập một website độc hại hoặc đã bị xâm nhập trong trình duyệt của họ. Chuỗi khai thác zero-day đầy đủ diễn ra như sau:

• Người dùng truy cập một trang web độc hại.
• Trang web này cố gắng kết nối với cổng WebSocket cục bộ của OpenClaw trên localhost.
• Do các giả định thiết kế sai lầm, trình duyệt cho phép kết nối này.
• Kẻ tấn công từ xa thiết lập một phiên làm việc được xác thực với AI agent.
• Kẻ tấn công có thể ra lệnh cho AI agent thực hiện các hành động độc hại.

Nguồn Gốc Lỗ Hổng: Ba Giả Định Thiết Kế Sai Lầm

Nguyên nhân gốc rễ của lỗ hổng zero-day này là sự kết hợp của ba giả định thiết kế sai lầm:

1. Kết nối localhost vốn dĩ đáng tin cậy.
2. Lưu lượng truy cập từ trình duyệt không thể đến các dịch vụ cục bộ.
3. Giới hạn tốc độ không cần áp dụng cho các địa chỉ loopback.

Mỗi giả định này đều không chính xác trong môi trường trình duyệt hiện đại.

Ảnh Hưởng Hệ Thống và Minh Chứng Khái Niệm

Kiểm Soát Hoàn Toàn và Tấn Công Từ Xa

Một khi phiên làm việc được xác thực đã được thiết lập, kẻ tấn công từ xa có thể tương tác trực tiếp với AI agent. Kẻ tấn công có thể chỉ thị agent:

• Tìm kiếm lịch sử Slack để lấy các khóa API.
• Đọc tin nhắn riêng tư.
• Giải mã dữ liệu từ các node được kết nối.
• Thực thi các lệnh shell tùy ý, dẫn đến khả năng remote code execution.

Đối với một nhà phát triển có tích hợp OpenClaw điển hình, các nhà nghiên cứu của Oasis Security mô tả điều này tương đương với một cuộc chiếm quyền điều khiển hoàn toàn máy trạm, được khởi tạo từ một tab trình duyệt, mà không có bất kỳ dấu hiệu rõ ràng nào cho nạn nhân.

Minh Chứng Khái Niệm Của Oasis Security

Minh chứng khái niệm (Proof-of-Concept) của Oasis Security đã chứng minh chuỗi tấn công hoàn chỉnh từ đầu đến cuối. Họ đã bẻ khóa thành công mật khẩu gateway và tương tác với một phiên bản agent đang hoạt động từ một phiên trình duyệt không liên quan. Chi tiết về phân tích này có thể được tìm thấy tại blog của Oasis Security.

Phản Ứng và Khuyến Nghị Khắc Phục Lỗ Hổng Zero-Day

Đội ngũ OpenClaw đã phân loại đây là một lỗ hổng có mức độ nghiêm trọng cao và đã phát hành bản vá bảo mật trong vòng 24 giờ. Đây là một phản ứng đáng khen ngợi đối với một dự án mã nguồn mở do tình nguyện viên điều hành.

Tuy nhiên, với tốc độ áp dụng nhanh chóng của công cụ này, các tổ chức cần giả định rằng vẫn còn các phiên bản chưa được vá trong các đội ngũ phát triển. Việc khắc phục cần được xử lý với mức độ khẩn cấp tương tự như bất kỳ bản vá bảo mật quan trọng nào khác để ngăn chặn khai thác zero-day.