Openclaw AI đối mặt lỗ hổng bảo mật nghiêm trọng: Cảnh báo từ Certik về nguy cơ từ tiện ích mở rộng độc hại

**Hà Nội, ngày 18 tháng 3 năm 2026** – Một báo cáo mới từ công ty an ninh mạng hàng đầu Certik đã phơi bày những lỗ hổng bảo mật đáng lo ngại trong Openclaw, một nền tảng tác nhân trí tuệ nhân tạo (AI) mã nguồn mở. Theo Certik, việc Openclaw quá phụ thuộc vào cơ chế “quét kỹ năng” (skill scanning) là không đủ để bảo vệ người dùng khỏi các tiện ích mở rộng (extension) của bên thứ ba chứa mã độc.

## Hạn chế của quy trình kiểm duyệt Clawhub

Báo cáo, được công bố vào ngày 16 tháng 3 năm 2026, chỉ ra rằng mô hình bảo mật của Openclaw đặt nặng vào việc phát hiện và cảnh báo hơn là cô lập mạnh mẽ trong thời gian chạy (runtime isolation). Điều này khiến người dùng dễ bị tổn thương trước các cuộc tấn công cấp độ máy chủ (host-level compromises).

Clawhub, chợ ứng dụng của Openclaw, hiện đang sử dụng một quy trình kiểm duyệt nhiều lớp để đánh giá các “kỹ năng” – những ứng dụng của bên thứ ba cung cấp cho tác nhân AI các khả năng như tự động hóa hệ thống hoặc vận hành ví tiền điện tử (cryptocurrency wallet operations). Quy trình này bao gồm việc sử dụng Virustotal để quét các phần mềm độc hại đã biết và Công cụ Kiểm duyệt Tĩnh (Static Moderation Engine), một công cụ được giới thiệu vào ngày 8 tháng 3 năm 2026, nhằm gắn cờ các mẫu mã đáng ngờ. Ngoài ra, báo cáo còn đề cập đến một “bộ phát hiện sự không nhất quán” (incoherence detector) được thiết kế để phát hiện sự khác biệt giữa mục đích đã công bố của một kỹ năng và hành vi thực tế của nó.

Tuy nhiên, các nhà nghiên cứu của Certik đã phát hiện ra rằng các quy tắc tĩnh tìm kiếm “cờ đỏ” (red flags) có thể dễ dàng bị qua mặt bằng cách viết lại mã đơn giản. Họ cũng khẳng định rằng lớp đánh giá AI, mặc dù hiệu quả trong việc phát hiện ý định rõ ràng, nhưng lại gặp khó khăn trong việc xác định các lỗ hổng có thể khai thác được ẩn sâu trong các đoạn mã trông có vẻ hợp lý.

## Khoảng trống “Đang chờ xử lý”

Một trong những lỗ hổng nghiêm trọng nhất được Certik xác định là cách xử lý các kết quả quét đang chờ xử lý. Các nhà nghiên cứu phát hiện ra rằng một kỹ năng có thể vẫn hoạt động và có thể cài đặt trên chợ ứng dụng ngay cả khi kết quả từ Virustotal vẫn đang chờ – một quá trình có thể mất hàng giờ hoặc thậm chí vài ngày. Trên thực tế, những kỹ năng đang chờ này được coi là vô hại, cho phép chúng được cài đặt mà không có bất kỳ cảnh báo nào cho người dùng.

Để chứng minh lỗ hổng này, các nhà nghiên cứu của Certik đã tạo ra một kỹ năng bằng chứng khái niệm (Proof-of-Concept – PoC) có tên “test-web-searcher”. Kỹ năng này trông có vẻ hoạt động bình thường và vô hại, nhưng lại chứa một lỗi “có hình dạng lỗ hổng” (vulnerability-shaped bug) ẩn, cho phép thực thi lệnh tùy ý trên máy chủ (host machine). Khi được gọi qua Telegram, kỹ năng này đã thành công vượt qua cơ chế sandboxing tùy chọn của Openclaw và “bật máy tính” (popped a calculator) trên máy của nhà nghiên cứu – một minh chứng kinh điển về việc hệ thống bị xâm nhập hoàn toàn.

## Khuyến nghị và cảnh báo

Báo cáo kết luận rằng việc phát hiện không bao giờ có thể thay thế cho một ranh giới bảo mật thực sự. Certik đang thúc giục các nhà phát triển Openclaw chạy các kỹ năng của bên thứ ba trong môi trường cô lập theo mặc định, thay vì dựa vào cấu hình tùy chọn của người dùng. Các nhà phát triển cũng nên triển khai một mô hình trong đó các kỹ năng phải khai báo rõ ràng các nhu cầu tài nguyên ngay từ đầu, tương tự như các hệ điều hành di động hiện đại.

Đối với người dùng, Certik đưa ra một cảnh báo nghiêm khắc: Nhãn “lành tính” (benign) trên Clawhub không phải là bằng chứng về bảo mật. Cho đến khi cơ chế cô lập mạnh mẽ hơn trở thành mặc định, nền tảng này chỉ nên được sử dụng trong các môi trường có giá trị thấp, tránh xa các thông tin đăng nhập hoặc tài sản nhạy cảm.