Duy Linh
Writer
Các tác nhân AI của OpenClaw đang chịu giám sát an ninh chặt chẽ sau cảnh báo từ CNCERT về cấu hình mặc định không an toàn và lỗ hổng chèn lời nhắc.
Các tác nhân AI của OpenClaw dễ bị tổn thương bởi việc tiêm lệnh gián tiếp.
Rủi ro lớn nhất không nằm ở việc mô hình bị nhầm lẫn, mà ở khả năng kẻ tấn công biến hành vi bình thường của tác nhân AI thành kênh đánh cắp dữ liệu ngầm. Điều này cho thấy việc thao túng nội dung có thể nhanh chóng leo thang thành sự cố an ninh nghiêm trọng.
Nghiên cứu từ Invaders đã chứng minh một chuỗi tấn công hiệu quả dựa trên chèn lệnh gián tiếp. Kẻ tấn công giấu chỉ thị độc hại trong nội dung web hoặc dữ liệu bên ngoài mà OpenClaw xử lý. Sau đó, hệ thống AI bị ép tạo URL do kẻ tấn công kiểm soát và tự động gắn dữ liệu nhạy cảm vào tham số truy vấn.
Nguy hiểm hơn, khi URL này được gửi qua các nền tảng như Telegram hoặc Discord, hệ thống tự động tạo bản xem trước liên kết sẽ kích hoạt yêu cầu HTTP đến máy chủ của kẻ tấn công. Từ đó, dữ liệu nhạy cảm bị trích xuất trực tiếp từ nhật ký máy chủ.
Toàn bộ quá trình này không cần người dùng nhấp chuột, khiến việc phát hiện trở nên cực kỳ khó khăn.
OpenClaw có khả năng đọc tệp cục bộ, thực thi tác vụ và tương tác với nhiều dịch vụ. Tuy nhiên, chính quyền truy cập rộng này làm tăng mức độ nguy hiểm khi bị xâm phạm, đặc biệt khi tác nhân AI có thể truy cập dữ liệu nhạy cảm, thông tin xác thực và khóa API.
Các yếu tố làm tăng rủi ro gồm:
Các biện pháp giảm thiểu rủi ro gồm:
Các tác nhân AI của OpenClaw dễ bị tổn thương bởi việc tiêm lệnh gián tiếp.
Rủi ro lớn nhất không nằm ở việc mô hình bị nhầm lẫn, mà ở khả năng kẻ tấn công biến hành vi bình thường của tác nhân AI thành kênh đánh cắp dữ liệu ngầm. Điều này cho thấy việc thao túng nội dung có thể nhanh chóng leo thang thành sự cố an ninh nghiêm trọng.
Nghiên cứu từ Invaders đã chứng minh một chuỗi tấn công hiệu quả dựa trên chèn lệnh gián tiếp. Kẻ tấn công giấu chỉ thị độc hại trong nội dung web hoặc dữ liệu bên ngoài mà OpenClaw xử lý. Sau đó, hệ thống AI bị ép tạo URL do kẻ tấn công kiểm soát và tự động gắn dữ liệu nhạy cảm vào tham số truy vấn.
Nguy hiểm hơn, khi URL này được gửi qua các nền tảng như Telegram hoặc Discord, hệ thống tự động tạo bản xem trước liên kết sẽ kích hoạt yêu cầu HTTP đến máy chủ của kẻ tấn công. Từ đó, dữ liệu nhạy cảm bị trích xuất trực tiếp từ nhật ký máy chủ.
Toàn bộ quá trình này không cần người dùng nhấp chuột, khiến việc phát hiện trở nên cực kỳ khó khăn.
OpenClaw có khả năng đọc tệp cục bộ, thực thi tác vụ và tương tác với nhiều dịch vụ. Tuy nhiên, chính quyền truy cập rộng này làm tăng mức độ nguy hiểm khi bị xâm phạm, đặc biệt khi tác nhân AI có thể truy cập dữ liệu nhạy cảm, thông tin xác thực và khóa API.
Các yếu tố làm tăng rủi ro gồm:
- Tích hợp nhắn tin tạo ra kênh rò rỉ dữ liệu không cần nhấp chuột
- Quyền truy cập sâu vào hệ thống cho phép thực hiện hành động trái phép
- Hệ sinh thái kỹ năng bên thứ ba có thể chứa mã độc
- Tác nhân hoạt động gần dữ liệu nhạy cảm và thông tin xác thực
- Cổng quản lý mặc định và giao diện mở làm tăng phạm vi tấn công
Các biện pháp phòng vệ cần triển khai ngay
Các chuyên gia bảo mật cần xem đây là vấn đề kiến trúc của hệ thống tác nhân AI, không chỉ là lỗi mô hình. Khi AI có khả năng truy xuất thông tin, phải giả định nội dung bên ngoài luôn có nguy cơ bị thao túng.Các biện pháp giảm thiểu rủi ro gồm:
- Vô hiệu hóa hoặc hạn chế tính năng xem trước liên kết trong các kênh nhắn tin
- Cô lập OpenClaw trong môi trường container được kiểm soát, tránh lộ cổng quản lý ra internet
- Chỉ sử dụng kỹ năng bên thứ ba từ nguồn đáng tin cậy, tắt cập nhật tự động trong môi trường nhạy cảm
- Giám sát lưu lượng mạng đi ra sau khi tác nhân phản hồi
- Thiết lập cảnh báo với các URL do AI tạo trỏ đến tên miền bất thường
Đọc chi tiết tại đây: gbhackers
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
