AI OpenClaw đối mặt nguy cơ tấn công chèn lệnh và đánh cắp thông tin

[Nguyễn Tiến Đạt]

Đội Kỹ thuật Ứng phó Khẩn cấp Mạng Máy tính Quốc gia Trung Quốc (CNCERT) vừa cảnh báo về các rủi ro bảo mật liên quan đến OpenClaw, một tác nhân trí tuệ nhân tạo mã nguồn mở và tự lưu trữ, trước đây có tên Clawdbot và Moltbot.

Theo CNCERT, các cấu hình bảo mật mặc định yếu cùng quyền truy cập hệ thống ở mức đặc quyền – vốn được thiết kế để hỗ trợ các tác vụ tự động – có thể bị tin tặc lợi dụng để chiếm quyền điều khiển thiết bị đầu cuối.

Một trong những rủi ro đáng chú ý là kỹ thuật tiêm mã độc tức thời, trong đó các chỉ thị độc hại được nhúng vào trang web có thể khiến tác nhân AI tiết lộ thông tin nhạy cảm nếu bị lừa truy cập và xử lý nội dung đó.

Nguy cơ từ các cuộc tấn công chèn lệnh AI​

Hình thức tấn công này còn được gọi là tấn công chèn lệnh gián tiếp (IDPI) hoặc tấn công chèn lệnh xuyên miền (XPIA). Thay vì tương tác trực tiếp với mô hình ngôn ngữ lớn (LLM), kẻ tấn công lợi dụng các tính năng AI hợp pháp như tóm tắt nội dung web hoặc phân tích dữ liệu để thực thi các lệnh bị thao túng.

Theo OpenAI, các cuộc tấn công dạng prompt injection đang ngày càng phát triển, kết hợp cả yếu tố kỹ thuật xã hội.

Các hệ thống tác nhân AI hiện có thể duyệt web, thu thập dữ liệu và thực hiện hành động thay người dùng. Tuy nhiên, chính những khả năng này cũng mở ra nhiều phương thức mới để kẻ tấn công thao túng hệ thống.

Tấn công đánh cắp dữ liệu qua bản xem trước liên kết​

Tháng trước, các nhà nghiên cứu tại PromptArmor phát hiện một phương thức tấn công mới liên quan đến tính năng xem trước liên kết trong các ứng dụng nhắn tin như Telegram và Discord.

Theo đó, kẻ tấn công có thể thao túng tác nhân AI tạo ra một URL do chúng kiểm soát. Khi liên kết này xuất hiện dưới dạng bản xem trước trong ứng dụng nhắn tin, hệ thống có thể tự động gửi dữ liệu nhạy cảm tới máy chủ của kẻ tấn công mà người dùng không cần nhấp vào liên kết.

Điều này khiến việc đánh cắp dữ liệu có thể xảy ra ngay khi AI phản hồi người dùng.

Nhiều rủi ro bảo mật khác được cảnh báo​

Ngoài các cuộc tấn công chèn lệnh, CNCERT còn cảnh báo thêm một số nguy cơ:

• OpenClaw có thể vô tình xóa dữ liệu quan trọng nếu hiểu sai chỉ dẫn của người dùng.
• Tin tặc có thể tải lên các kỹ năng độc hại lên kho tiện ích như ClawHub; khi người dùng cài đặt, chúng có thể chạy lệnh tùy ý hoặc cài malware.
• Các lỗ hổng bảo mật mới trong OpenClaw có thể bị khai thác để xâm nhập hệ thống và đánh cắp dữ liệu.

Theo CNCERT, các ngành quan trọng như tài chính và năng lượng có thể chịu rủi ro lớn nếu hệ thống bị xâm phạm, bao gồm rò rỉ bí mật thương mại, dữ liệu kinh doanh cốt lõi hoặc thậm chí làm tê liệt toàn bộ hệ thống vận hành.

Khuyến nghị bảo mật cho người dùng và tổ chức​

Để giảm thiểu rủi ro, CNCERT khuyến nghị các tổ chức:

• Tăng cường kiểm soát mạng và không để cổng quản lý OpenClaw lộ ra internet
• Triển khai dịch vụ trong môi trường container
• Không lưu trữ thông tin đăng nhập dưới dạng văn bản thuần
• Chỉ tải kỹ năng từ các nguồn đáng tin cậy
• Tắt tính năng cập nhật tự động và thường xuyên cập nhật phiên bản agent

Malware giả mạo OpenClaw trên GitHub​

Song song với các lỗ hổng bảo mật, các chuyên gia cũng phát hiện chiến dịch phát tán malware thông qua các kho lưu trữ giả mạo trên GitHub.

Các kho này giả danh trình cài đặt OpenClaw nhằm phát tán những phần mềm đánh cắp thông tin như Atomic Stealer, Vidar Stealer và một phần mềm proxy viết bằng Go có tên GhostSocks.

Theo công ty an ninh mạng Huntress, chiến dịch này không nhắm vào một ngành cụ thể mà tập trung vào những người đang tìm cách cài đặt OpenClaw trên Windows hoặc macOS.

Đáng chú ý, các kho mã độc này còn xuất hiện trong kết quả tìm kiếm AI của Bing, khiến người dùng dễ bị đánh lừa và tải về các tệp cài đặt độc hại.(thehackernews)

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview