Lỗ hổng ClawJacked trong OpenClaw: Nguy cơ chiếm quyền AI tự lưu trữ qua trình duyệt
Lỗ hổng ClawJacked trong OpenClaw: Nguy cơ chiếm quyền AI

Lỗ hổng ClawJacked: Mối đe dọa nghiêm trọng với nền tảng AI tự lưu trữ OpenClaw

Các chuyên gia an ninh mạng vừa công bố một lỗ hổng bảo mật mức độ cao mang tên ClawJacked, tồn tại trong nền tảng AI tự lưu trữ OpenClaw. Lỗ hổng này cho phép một trang web độc hại âm thầm thực hiện tấn công brute-force để đoán mật khẩu truy cập vào phiên bản OpenClaw đang chạy cục bộ trên máy tính của người dùng, từ đó chiếm quyền điều khiển toàn bộ hệ thống.

Phát hiện và phản ứng nhanh từ nhà phát triển

Vấn đề được phát hiện bởi công ty bảo mật Oasis Security và đã được báo cáo ngay lập tức tới đội ngũ OpenClaw. Theo thông tin chính thức, bản vá bảo mật đã được phát hành trong phiên bản 2026.2.26 vào ngày 26 tháng 2, tức chỉ 24 giờ sau khi nhận được báo cáo chi tiết kèm theo mã khai thác mẫu. Điều này cho thấy sự phản ứng nhanh chóng của nhà phát triển trước các mối đe dọa an ninh.

Nguyên nhân kỹ thuật và cơ chế khai thác

OpenClaw là một nền tảng AI tự lưu trữ đang ngày càng phổ biến, cho phép các AI agent tự động gửi tin nhắn, thực thi lệnh và quản lý tác vụ trên nhiều nền tảng khác nhau. Tuy nhiên, chính kiến trúc linh hoạt này lại tạo ra bề mặt tấn công nguy hiểm. Theo phân tích của Oasis Security, nguyên nhân cốt lõi nằm ở việc dịch vụ gateway của OpenClaw mặc định bind vào localhost và mở một giao diện WebSocket.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

Do chính sách cross-origin của trình duyệt không chặn các kết nối WebSocket tới localhost, một website độc hại mà người dùng truy cập có thể sử dụng JavaScript để âm thầm mở kết nối tới gateway nội bộ và thử xác thực mà không hiển thị bất kỳ cảnh báo nào. Mặc dù OpenClaw có cơ chế giới hạn tốc độ nhằm ngăn brute-force, địa chỉ loopback 127.0.0.1 lại được miễn trừ mặc định để tránh khóa nhầm các phiên CLI nội bộ. Chính cơ chế miễn trừ này đã vô tình tạo ra lỗ hổng nghiêm trọng.

Tác động và khả năng khai thác thực tế

Oasis Security cho biết họ có thể brute-force mật khẩu quản trị OpenClaw với tốc độ hàng trăm lần thử mỗi giây chỉ bằng JavaScript chạy trong trình duyệt, trong khi các lần đăng nhập thất bại không bị giới hạn tốc độ hay ghi log. Sau khi đoán đúng mật khẩu, kẻ tấn công có thể tự động đăng ký như một thiết bị tin cậy vì gateway mặc định chấp thuận ghép nối từ localhost mà không yêu cầu người dùng xác nhận.

Trong thử nghiệm phòng lab, nhóm nghiên cứu đạt tốc độ duy trì hàng trăm lần thử mật khẩu mỗi giây. Ở tốc độ này, danh sách mật khẩu phổ biến có thể bị thử hết trong chưa đầy một giây, còn một từ điển lớn cũng chỉ mất vài phút. Theo Oasis, các mật khẩu do người dùng tự đặt gần như không có khả năng chống đỡ.

Khi đã có phiên đăng nhập hợp lệ với quyền quản trị, kẻ tấn công có thể:

  • Tương tác trực tiếp với nền tảng AI.
  • Trích xuất thông tin đăng nhập và liệt kê các node kết nối.
  • Đọc log ứng dụng và đánh cắp dữ liệu xác thực.
  • Ra lệnh cho AI agent tìm kiếm lịch sử tin nhắn chứa thông tin nhạy cảm.
  • Trích xuất file từ các thiết bị kết nối hoặc thực thi lệnh shell tùy ý trên các node đã ghép nối.

Điều này đồng nghĩa với việc một tab trình duyệt độc hại có thể dẫn đến việc xâm phạm toàn bộ máy trạm. Oasis đã công bố bản demo minh họa cách khai thác lỗ hổng để đánh cắp dữ liệu nhạy cảm thông qua OpenClaw.

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình

Khuyến nghị và bối cảnh rộng hơn

Sau khi tiếp nhận báo cáo cùng chi tiết kỹ thuật và mã proof-of-concept, đội ngũ OpenClaw đã phát hành bản vá trong vòng 24 giờ. Bản cập nhật tăng cường kiểm tra bảo mật WebSocket và bổ sung lớp bảo vệ nhằm ngăn việc lợi dụng kết nối loopback localhost để brute-force hoặc chiếm quyền phiên làm việc, kể cả khi các kết nối này được cấu hình miễn trừ giới hạn tốc độ.

Các tổ chức và nhà phát triển đang vận hành OpenClaw được khuyến nghị cập nhật ngay lên phiên bản 2026.2.26 hoặc mới hơn để tránh nguy cơ bị chiếm quyền cài đặt. Trong bối cảnh OpenClaw ngày càng phổ biến, giới nghiên cứu bảo mật cũng tăng cường rà soát các điểm yếu tiềm ẩn. Trước đó, các tác nhân đe dọa đã bị phát hiện lợi dụng kho kỹ năng ClawHub của OpenClaw để phát tán kỹ năng độc hại, triển khai malware đánh cắp thông tin hoặc dụ người dùng thực thi lệnh nguy hiểm trên thiết bị của họ.

Việc phát hiện và khắc phục nhanh lỗ hổng lần này cho thấy rủi ro bảo mật đang gia tăng song song với sự phát triển của các nền tảng AI agent tự động, đặc biệt khi chúng được triển khai theo mô hình tự lưu trữ và có quyền truy cập sâu vào hệ thống nội bộ của người dùng. Đây là một lời cảnh tỉnh quan trọng cho cộng đồng công nghệ trong việc bảo vệ dữ liệu và hệ thống trước các mối đe dọa tinh vi.