Lỗ hổng ClawJacked trong OpenClaw: Website độc hại có thể chiếm quyền hệ thống AI nội bộ
Lỗ hổng ClawJacked trong OpenClaw nguy hiểm thế nào?

Lỗ hổng ClawJacked đe dọa người dùng OpenClaw

Cộng đồng công nghệ vừa chấn động trước thông tin về một lỗ hổng bảo mật nghiêm trọng mang tên ClawJacked được phát hiện trong nền tảng AI tự lưu trữ OpenClaw. Lỗ hổng này cho phép các website độc hại âm thầm tấn công brute-force mật khẩu và chiếm quyền điều khiển hoàn toàn hệ thống AI đang chạy cục bộ trên máy tính người dùng.

Cơ chế khai thác nguy hiểm

Theo báo cáo chi tiết từ công ty bảo mật Oasis Security, nguyên nhân cốt lõi xuất phát từ kiến trúc gateway của OpenClaw. Dịch vụ này mặc định bind vào localhost và mở giao diện WebSocket, nhưng chính sách cross-origin của trình duyệt lại không chặn kết nối WebSocket tới localhost.

Điều này tạo ra kẽ hở nguy hiểm: một website độc hại mà người dùng truy cập có thể sử dụng JavaScript để mở kết nối tới gateway nội bộ mà không hiển thị bất kỳ cảnh báo nào. Mặc dù OpenClaw có cơ chế giới hạn tốc độ chống brute-force, nhưng địa chỉ loopback 127.0.0.1 lại được miễn trừ mặc định để tránh ảnh hưởng đến các phiên CLI nội bộ.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

Tốc độ tấn công đáng báo động

Oasis Security đã chứng minh trong thử nghiệm phòng lab rằng họ có thể thực hiện hàng trăm lần thử mật khẩu mỗi giây chỉ bằng JavaScript chạy trong trình duyệt. Ở tốc độ này:

  • Danh sách mật khẩu phổ biến có thể bị thử hết trong chưa đầy một giây
  • Từ điển mật khẩu lớn cũng chỉ mất vài phút để xâm phạm
  • Các mật khẩu do người dùng tự đặt gần như không có khả năng chống đỡ

Hậu quả nghiêm trọng khi bị xâm phạm

Khi kẻ tấn công đoán đúng mật khẩu quản trị, chúng có thể tự động đăng ký như thiết bị tin cậy vì gateway mặc định chấp thuận ghép nối từ localhost. Từ đây, nhiều hành động nguy hiểm có thể xảy ra:

  1. Tương tác trực tiếp với nền tảng AI và trích xuất thông tin đăng nhập
  2. Liệt kê các node kết nối và đọc log ứng dụng
  3. Đánh cắp dữ liệu xác thực nhạy cảm
  4. Ra lệnh cho AI agent tìm kiếm lịch sử tin nhắn chứa thông tin mật
  5. Trích xuất file từ các thiết bị kết nối
  6. Thực thi lệnh shell tùy ý trên các node đã ghép nối

Điều này đồng nghĩa với việc chỉ một tab trình duyệt độc hại có thể dẫn đến xâm phạm toàn bộ máy trạm của người dùng.

Phản ứng nhanh từ nhà phát triển

Sau khi nhận được báo cáo chi tiết kèm mã khai thác mẫu từ Oasis Security, đội ngũ OpenClaw đã phản ứng cực kỳ nhanh chóng. Chỉ trong vòng 24 giờ, họ đã phát hành bản vá khẩn cấp trong phiên bản 2026.2.26 vào ngày 26 tháng 2.

Bản cập nhật này tăng cường kiểm tra bảo mật WebSocket và bổ sung lớp bảo vệ mới nhằm ngăn chặn việc lợi dụng kết nối loopback localhost để brute-force hoặc chiếm quyền phiên làm việc, ngay cả khi các kết nối này được cấu hình miễn trừ giới hạn tốc độ.

Cảnh báo an ninh mở rộng

OpenClaw là nền tảng AI tự lưu trữ đang gia tăng nhanh chóng về độ phổ biến, cho phép các AI agent tự động gửi tin nhắn, thực thi lệnh và quản lý tác vụ trên nhiều nền tảng khác nhau. Tuy nhiên, chính kiến trúc linh hoạt này lại mở ra bề mặt tấn công nguy hiểm.

Trước sự kiện ClawJacked, cộng đồng bảo mật đã từng phát hiện các mối đe dọa khác liên quan đến OpenClaw, bao gồm việc lợi dụng kho kỹ năng ClawHub để phát tán kỹ năng độc hại, triển khai malware đánh cắp thông tin hoặc dụ người dùng thực thi lệnh nguy hiểm.

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình

Khuyến nghị quan trọng: Tất cả tổ chức và nhà phát triển đang vận hành OpenClaw cần cập nhật ngay lên phiên bản 2026.2.26 hoặc mới hơn để tránh nguy cơ bị chiếm quyền cài đặt. Sự việc này cũng cho thấy rủi ro bảo mật đang gia tăng song song với sự phát triển của các nền tảng AI agent tự động, đặc biệt khi chúng được triển khai theo mô hình tự lưu trữ và có quyền truy cập sâu vào hệ thống nội bộ.