Một báo cáo của công ty an ninh mạng Certik ngày 16/3/2026 cảnh báo rằng Openclaw – nền tảng trí tuệ nhân tạo mã nguồn mở – có nhiều lỗ hổng bảo mật, đặc biệt là cơ chế “skill scanning” không đủ để bảo vệ người dùng khỏi các tiện ích mở rộng (skill) độc hại từ bên thứ ba.
Theo báo cáo, mô hình bảo mật của Openclaw phụ thuộc quá nhiều vào việc phát hiện và cảnh báo, thay vì cách ly chạy an toàn (runtime isolation), khiến người dùng dễ bị xâm nhập ở cấp độ hệ thống.
Hạn chế của quy trình kiểm duyệt Clawhub
Trên thị trường của Openclaw, Clawhub, các “skill” – ứng dụng bên thứ ba cung cấp khả năng như tự động hóa hệ thống hay quản lý ví crypto – được kiểm duyệt thông qua nhiều lớp, bao gồm Virustotal để quét mã độc đã biết, Static Moderation Engine để phát hiện các mẫu mã đáng ngờ, và một công cụ “incoherence detector” kiểm tra sự khác biệt giữa mục đích tuyên bố của skill và hành vi thực tế.
Tuy nhiên, Certik cho rằng các quy tắc tĩnh có thể bị vượt qua bằng cách viết lại mã đơn giản. Lớp đánh giá AI chỉ phát hiện ý định rõ ràng, còn các lỗ hổng ẩn trong mã trông hợp lý vẫn có thể bỏ sót.
Lỗ hổng “Pending”
Một điểm yếu quan trọng là cách xử lý kết quả quét đang chờ xử lý. Skill vẫn có thể được cài đặt ngay cả khi Virustotal chưa trả kết quả, quá trình này có thể kéo dài vài giờ hoặc vài ngày, nhưng vẫn được hệ thống coi là “an toàn”.
Để chứng minh, các nhà nghiên cứu của Certik tạo một skill PoC có tên “test-web-searcher”. Skill này trông bình thường nhưng chứa lỗ hổng cho phép thực thi lệnh tùy ý trên máy chủ. Khi chạy qua Telegram, skill này vượt qua sandbox tùy chọn của Openclaw và hiện máy tính tính toán trên máy thử nghiệm – minh họa điển hình cho việc xâm nhập hệ thống hoàn toàn.
Khuyến nghị và cảnh báo
Báo cáo kết luận rằng việc phát hiện không thể thay thế ranh giới bảo mật thực sự. Certik khuyến nghị Openclaw chạy các skill bên thứ ba trong môi trường cách ly theo mặc định và yêu cầu skill khai báo rõ nhu cầu tài nguyên trước, tương tự hệ điều hành di động hiện đại.
Người dùng được cảnh báo rằng nhãn “benign” trên Clawhub không đồng nghĩa với an toàn. Cho đến khi cơ chế cách ly mạnh hơn được áp dụng mặc định, nền tảng chỉ nên sử dụng trong môi trường giá trị thấp, tránh các thông tin nhạy cảm hoặc tài sản quan trọng.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
