Duy Linh
Writer
Hệ sinh thái tác nhân AI vừa trải qua một trong những sự cố chuỗi cung ứng nghiêm trọng nhất từ trước đến nay khi chiến dịch ClawHavoc bùng phát trên ClawHub - thị trường kỹ năng chính thức của OpenClaw.
Theo kết quả quét toàn diện của AIG trên gần 50.000 kỹ năng ClawHub, các nhà nghiên cứu phát hiện 1.184 gói phần mềm độc hại liên quan trực tiếp đến 12 tài khoản nhà phát triển bị xâm phạm, với tổng cộng 247.693 lượt cài đặt đã được xác nhận.
Chiến dịch kết hợp nhiều kỹ thuật như chiếm đoạt tên miền bằng lỗi chính tả, thao túng thứ hạng trên kho kỹ năng và phát tán phần mềm độc hại nhiều giai đoạn nhằm đánh cắp thông tin đăng nhập, bí mật hệ thống và triển khai mã độc đánh cắp tiền điện tử. Toàn bộ quá trình diễn ra mà cả người dùng cuối lẫn các tác nhân AI tự động đều không phát hiện.
ClawHavoc đạt hiệu quả cao nhờ khai thác hai đặc điểm của hệ sinh thái tác nhân AI: các kỹ năng thường được cấp quyền truy cập cục bộ rất rộng, trong khi các chợ ứng dụng lại ưu tiên những kỹ năng có nhiều lượt tải xuống.
Nhóm tấn công phát hành nhiều công cụ giả mạo với tài liệu được xây dựng rất thuyết phục, mạo danh các ứng dụng như Google Assistant Pro hay YouTube Summarize Pro. Bên trong các gói này, chúng chèn hướng dẫn Markdown để thu thập khóa SSH cùng các tập lệnh shell nhằm triển khai phần mềm độc hại AMOS.
Ở thời điểm cao nhất của chiến dịch, 5 trong số 7 kỹ năng được tải xuống nhiều nhất đều là phần mềm độc hại. Do các tác nhân AI có xu hướng ưu tiên cài đặt những kỹ năng phổ biến, chúng đã tự động tải và thực thi mã độc, giúp kẻ tấn công mở rộng phạm vi lây nhiễm mà gần như không cần che giấu mã nguồn.
Sơ đồ quy trình tấn công kỹ năng độc hại (Nguồn: Tencent).
Các biện pháp này đã loại bỏ nhiều mối đe dọa rõ ràng, nhưng AIG nhận thấy chiến thuật của tin tặc nhanh chóng thay đổi.
Thay vì nhúng trực tiếp các lệnh độc hại, chúng chuyển sang sử dụng các payload điều khiển từ xa (C2), kết hợp chuỗi mã hóa nhiều lớp và kỹ thuật giải mã không an toàn. Từng thành phần riêng lẻ đều có vẻ vô hại, nhưng khi kết hợp lại sẽ tạo thành một chuỗi thực thi mã từ xa hoàn chỉnh.
Theo Tencent, một ví dụ điển hình đã vượt qua cơ chế bảo vệ của ClawHub là kỹ năng tự nhận là "công cụ khôi phục trạng thái phân tán", đi kèm tài liệu chuyên nghiệp và yêu cầu cấp quyền hợp lý.
Kỹ năng này tải payload được tuần tự hóa từ máy chủ C2 từ xa, sau đó sử dụng chuỗi giải mã liên tiếp như Base64, ROT13 và hex để khôi phục mã byte trước khi gọi hàm giải tuần tự hóa pickle của Python, qua đó thực thi mã tùy ý.
Do toàn bộ lệnh đều được điều khiển từ máy chủ C2 nên kho kỹ năng không chứa mã độc rõ ràng, mà chỉ bao gồm các thành phần hạ tầng phục vụ việc nhận lệnh từ xa.
Tài liệu Python (Nguồn: Tencent).
AIG phát hiện kỹ thuật này bằng cách phân tích toàn bộ chuỗi hành vi "tải dữ liệu từ xa - giải mã nhiều lớp - giải mã dữ liệu", qua đó nhận diện chuỗi tấn công có mức độ rủi ro cao mà các phương pháp phát hiện dựa trên chữ ký rất dễ bỏ sót.
Các nhà nghiên cứu chứng minh rằng kẻ tấn công có thể đẩy một kỹ năng lên vị trí đầu bảng xếp hạng. Khi kết hợp với cơ chế tự động cài đặt của các tác nhân AI, quy mô lây nhiễm có thể mở rộng trên nhiều hệ thống.
Phương thức thao túng này biến mức độ phổ biến thành một vũ khí. Thay vì phải che giấu mã độc bằng kỹ thuật phức tạp, tin tặc chỉ cần đưa gói phần mềm độc hại lên vị trí có khả năng hiển thị cao.
Dữ liệu toàn hệ sinh thái cũng cho thấy những rủi ro đáng lo ngại. Trong gần 50.000 kỹ năng được quét, có tới 27.818 kỹ năng khai báo quyền truy cập mạng, tương đương khoảng ba phần tư tổng số kỹ năng có thể kết nối internet.
Hệ sinh thái hiện có 15.427 nhà phát triển, nhưng 20 tài khoản lớn nhất chỉ tạo ra 12,9% nội dung. Một số tài khoản đã phát hành hàng trăm kỹ năng chỉ trong vài tuần, cho thấy dấu hiệu sản xuất hàng loạt theo mẫu.
Quá trình quét còn phát hiện 246.378 URL thuộc 29.196 tên miền khác nhau, phản ánh số lượng lớn kênh điều khiển và truyền dữ liệu tiềm ẩn.
Các cuộc kiểm toán độc lập của SkillProbe, Snyk cùng danh sách Top 10 Kỹ năng Tác nhân do OWASP công bố vào tháng 4/2026 đều đi đến kết luận rằng kỹ năng AI đang trở thành một bề mặt tấn công mới với rủi ro mang tính hệ thống trên nhiều nền tảng.
Để giảm thiểu nguy cơ, các chuyên gia khuyến nghị cần triển khai nhiều lớp phòng thủ, bao gồm xác thực nguồn gốc và giới hạn tốc độ trên các chợ ứng dụng, phát hiện dựa trên chuỗi hành vi thay vì chỉ dựa vào chữ ký, áp dụng mô hình cấp quyền nghiêm ngặt hơn cho kỹ năng và bổ sung các chính sách hạn chế việc cài đặt tự động của tác nhân AI.
Vụ việc ClawHavoc được xem là bước ngoặt đối với an ninh của hệ sinh thái tác nhân AI. Sự cố cho thấy các nền tảng cần nhận thức rằng số lượng lượt tải và mức độ phổ biến hoàn toàn có thể bị biến thành công cụ tấn công, trong khi các chiến dịch trong tương lai nhiều khả năng sẽ tiếp tục ẩn mình dưới những thành phần tưởng chừng vô hại.
Theo kết quả quét toàn diện của AIG trên gần 50.000 kỹ năng ClawHub, các nhà nghiên cứu phát hiện 1.184 gói phần mềm độc hại liên quan trực tiếp đến 12 tài khoản nhà phát triển bị xâm phạm, với tổng cộng 247.693 lượt cài đặt đã được xác nhận.
Chiến dịch kết hợp nhiều kỹ thuật như chiếm đoạt tên miền bằng lỗi chính tả, thao túng thứ hạng trên kho kỹ năng và phát tán phần mềm độc hại nhiều giai đoạn nhằm đánh cắp thông tin đăng nhập, bí mật hệ thống và triển khai mã độc đánh cắp tiền điện tử. Toàn bộ quá trình diễn ra mà cả người dùng cuối lẫn các tác nhân AI tự động đều không phát hiện.
ClawHavoc đạt hiệu quả cao nhờ khai thác hai đặc điểm của hệ sinh thái tác nhân AI: các kỹ năng thường được cấp quyền truy cập cục bộ rất rộng, trong khi các chợ ứng dụng lại ưu tiên những kỹ năng có nhiều lượt tải xuống.
Nhóm tấn công phát hành nhiều công cụ giả mạo với tài liệu được xây dựng rất thuyết phục, mạo danh các ứng dụng như Google Assistant Pro hay YouTube Summarize Pro. Bên trong các gói này, chúng chèn hướng dẫn Markdown để thu thập khóa SSH cùng các tập lệnh shell nhằm triển khai phần mềm độc hại AMOS.
Ở thời điểm cao nhất của chiến dịch, 5 trong số 7 kỹ năng được tải xuống nhiều nhất đều là phần mềm độc hại. Do các tác nhân AI có xu hướng ưu tiên cài đặt những kỹ năng phổ biến, chúng đã tự động tải và thực thi mã độc, giúp kẻ tấn công mở rộng phạm vi lây nhiễm mà gần như không cần che giấu mã nguồn.
Sơ đồ quy trình tấn công kỹ năng độc hại (Nguồn: Tencent).
Kẻ tấn công liên tục thay đổi kỹ thuật để vượt qua hệ thống phòng thủ
Ban đầu, ClawHub triển khai hệ thống phát hiện nhiều lớp gồm quét mã tĩnh bằng biểu thức chính quy, phát hiện tín hiệu tiêm lệnh trong tệp SKILL.md, đánh giá siêu dữ liệu và quyền truy cập bằng mô hình ngôn ngữ lớn (LLM), đồng thời kiểm tra với VirusTotal.Các biện pháp này đã loại bỏ nhiều mối đe dọa rõ ràng, nhưng AIG nhận thấy chiến thuật của tin tặc nhanh chóng thay đổi.
Thay vì nhúng trực tiếp các lệnh độc hại, chúng chuyển sang sử dụng các payload điều khiển từ xa (C2), kết hợp chuỗi mã hóa nhiều lớp và kỹ thuật giải mã không an toàn. Từng thành phần riêng lẻ đều có vẻ vô hại, nhưng khi kết hợp lại sẽ tạo thành một chuỗi thực thi mã từ xa hoàn chỉnh.
Theo Tencent, một ví dụ điển hình đã vượt qua cơ chế bảo vệ của ClawHub là kỹ năng tự nhận là "công cụ khôi phục trạng thái phân tán", đi kèm tài liệu chuyên nghiệp và yêu cầu cấp quyền hợp lý.
Kỹ năng này tải payload được tuần tự hóa từ máy chủ C2 từ xa, sau đó sử dụng chuỗi giải mã liên tiếp như Base64, ROT13 và hex để khôi phục mã byte trước khi gọi hàm giải tuần tự hóa pickle của Python, qua đó thực thi mã tùy ý.
Do toàn bộ lệnh đều được điều khiển từ máy chủ C2 nên kho kỹ năng không chứa mã độc rõ ràng, mà chỉ bao gồm các thành phần hạ tầng phục vụ việc nhận lệnh từ xa.
Tài liệu Python (Nguồn: Tencent).
AIG phát hiện kỹ thuật này bằng cách phân tích toàn bộ chuỗi hành vi "tải dữ liệu từ xa - giải mã nhiều lớp - giải mã dữ liệu", qua đó nhận diện chuỗi tấn công có mức độ rủi ro cao mà các phương pháp phát hiện dựa trên chữ ký rất dễ bỏ sót.
Kỹ năng AI đang trở thành bề mặt tấn công mới
ClawHavoc còn khai thác cơ chế xếp hạng của chợ ứng dụng. Trước đó, vào tháng 3, Silverfort đã công bố một lỗ hổng trên hệ thống máy chủ cho phép tăng giả số lượt tải xuống mà không cần xác thực.Các nhà nghiên cứu chứng minh rằng kẻ tấn công có thể đẩy một kỹ năng lên vị trí đầu bảng xếp hạng. Khi kết hợp với cơ chế tự động cài đặt của các tác nhân AI, quy mô lây nhiễm có thể mở rộng trên nhiều hệ thống.
Phương thức thao túng này biến mức độ phổ biến thành một vũ khí. Thay vì phải che giấu mã độc bằng kỹ thuật phức tạp, tin tặc chỉ cần đưa gói phần mềm độc hại lên vị trí có khả năng hiển thị cao.
Dữ liệu toàn hệ sinh thái cũng cho thấy những rủi ro đáng lo ngại. Trong gần 50.000 kỹ năng được quét, có tới 27.818 kỹ năng khai báo quyền truy cập mạng, tương đương khoảng ba phần tư tổng số kỹ năng có thể kết nối internet.
Hệ sinh thái hiện có 15.427 nhà phát triển, nhưng 20 tài khoản lớn nhất chỉ tạo ra 12,9% nội dung. Một số tài khoản đã phát hành hàng trăm kỹ năng chỉ trong vài tuần, cho thấy dấu hiệu sản xuất hàng loạt theo mẫu.
Quá trình quét còn phát hiện 246.378 URL thuộc 29.196 tên miền khác nhau, phản ánh số lượng lớn kênh điều khiển và truyền dữ liệu tiềm ẩn.
Các cuộc kiểm toán độc lập của SkillProbe, Snyk cùng danh sách Top 10 Kỹ năng Tác nhân do OWASP công bố vào tháng 4/2026 đều đi đến kết luận rằng kỹ năng AI đang trở thành một bề mặt tấn công mới với rủi ro mang tính hệ thống trên nhiều nền tảng.
Để giảm thiểu nguy cơ, các chuyên gia khuyến nghị cần triển khai nhiều lớp phòng thủ, bao gồm xác thực nguồn gốc và giới hạn tốc độ trên các chợ ứng dụng, phát hiện dựa trên chuỗi hành vi thay vì chỉ dựa vào chữ ký, áp dụng mô hình cấp quyền nghiêm ngặt hơn cho kỹ năng và bổ sung các chính sách hạn chế việc cài đặt tự động của tác nhân AI.
Vụ việc ClawHavoc được xem là bước ngoặt đối với an ninh của hệ sinh thái tác nhân AI. Sự cố cho thấy các nền tảng cần nhận thức rằng số lượng lượt tải và mức độ phổ biến hoàn toàn có thể bị biến thành công cụ tấn công, trong khi các chiến dịch trong tương lai nhiều khả năng sẽ tiếp tục ẩn mình dưới những thành phần tưởng chừng vô hại.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
