Trung tâm Ứng phó Khẩn cấp Internet Quốc gia phát hành cảnh báo rủi ro về ứng dụng bảo mật OpenClaw

CryptocurrencySniper · 2026-03-10T11:45:55+00:00

OpenClaw là một phần mềm trí tuệ nhân tạo, được chú ý nhờ quyền hạn cao và thao tác dễ dàng, nhưng cấu hình bảo mật của nó yếu ớt, dẫn đến các rủi ro như “tiêm lệnh nhắc nhở”, “lỗi thao tác”, “tấn công độc hại qua plugin” và các lỗ hổng bảo mật. Người dùng và các đơn vị liên quan cần tăng cường kiểm soát mạng, quản lý chứng thực, nguồn plugin và cập nhật bản vá để nâng cao an toàn.

CryptocurrencySniper

2026-03-10 11:45:55

Đang tạo bản tóm tắt

Gần đây, OpenClaw（“Tôm hùm”, từng gọi là Clawdbot, Moltbot） đã trở nên phổ biến trong việc tải xuống và sử dụng, các nền tảng đám mây chính trong nước đều cung cấp dịch vụ triển khai một click. Phần mềm trí tuệ nhân tạo này dựa trên lệnh bằng ngôn ngữ tự nhiên để điều khiển máy tính thực hiện các thao tác liên quan. Để đạt được khả năng “thực thi nhiệm vụ tự chủ”, ứng dụng này được cấp quyền hệ thống cao, bao gồm truy cập hệ thống tệp cục bộ, đọc biến môi trường, gọi API của dịch vụ bên ngoài và cài đặt các tiện ích mở rộng. Tuy nhiên, do cấu hình bảo mật mặc định rất yếu, kẻ tấn công nếu phát hiện điểm yếu sẽ dễ dàng chiếm quyền kiểm soát hoàn toàn hệ thống.

Trước đó, do cài đặt và sử dụng không đúng cách của OpenClaw, đã xuất hiện một số rủi ro bảo mật nghiêm trọng:

Rủi ro “Tiêm lệnh gợi ý”. Kẻ tấn công qua việc tạo ra các lệnh độc hại ẩn trong trang web, dụ OpenClaw đọc trang web đó, có thể dẫn đến việc lộ khóa hệ thống của người dùng.
Rủi ro “Sai thao tác”. Do hiểu sai lệnh và ý định của người dùng, OpenClaw có thể xóa sạch các thông tin quan trọng như email, dữ liệu sản xuất cốt lõi.
Rủi ro “Tấn công nhiễm độc plugin (skills)”. Nhiều plugin chức năng phù hợp với OpenClaw đã bị xác nhận là độc hại hoặc có nguy cơ bảo mật tiềm ẩn, sau khi cài đặt có thể thực hiện các hành vi độc hại như trộm cắp khóa, cài đặt phần mềm cửa hậu Trojan, biến thiết bị thành “máy bot”.
Rủi ro lỗ hổng bảo mật. Tính đến nay, OpenClaw đã công khai nhiều lỗ hổng nguy hiểm cấp cao, nếu bị kẻ tấn công lợi dụng sẽ dẫn đến kiểm soát hệ thống, rò rỉ thông tin cá nhân và dữ liệu nhạy cảm. Đối với người dùng cá nhân, có thể bị trộm dữ liệu riêng tư như ảnh, tài liệu, lịch sử trò chuyện, tài khoản thanh toán, API key. Đối với các ngành quan trọng như tài chính, năng lượng, có thể dẫn đến rò rỉ dữ liệu cốt lõi, bí mật kinh doanh và kho mã nguồn, thậm chí gây tê liệt toàn bộ hệ thống kinh doanh, thiệt hại không thể đo đếm.

Khuyến nghị các đơn vị và người dùng cá nhân khi triển khai và sử dụng OpenClaw cần thực hiện các biện pháp an toàn sau:

Tăng cường kiểm soát mạng, không để cổng quản lý mặc định của OpenClaw trực tiếp phơi trên mạng công cộng, sử dụng xác thực danh tính, kiểm soát truy cập và các biện pháp an toàn khác để quản lý truy cập dịch vụ. Thực hiện cách ly môi trường vận hành nghiêm ngặt, sử dụng công nghệ container để hạn chế quyền cao của OpenClaw;
Tăng cường quản lý chứng thực, tránh lưu trữ khóa rõ trong biến môi trường; xây dựng cơ chế kiểm tra, giám sát nhật ký hoạt động đầy đủ;
Quản lý nghiêm ngặt nguồn plugin, vô hiệu hóa chức năng tự động cập nhật, chỉ cài đặt các tiện ích mở rộng đã được ký xác thực từ các kênh tin cậy;
Liên tục theo dõi các bản vá và cập nhật bảo mật, kịp thời nâng cấp phiên bản và cài đặt các bản vá bảo mật.

(Nguồn: Trung tâm Ứng phó Khẩn cấp Internet Quốc gia)

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.