"Tôm hùm đất" của bạn đang chạy trần? CertiK thử nghiệm: OpenClaw Skill chứa lỗ hổng lừa qua kiểm duyệt, chiếm quyền máy tính không cần ủy quyền

Gần đây, nền tảng AI Agent tự lưu trữ mã nguồn mở OpenClaw (thường được gọi trong cộng đồng là "Tôm hùm đất") đã nhanh chóng trở nên nổi tiếng nhờ tính mở rộng linh hoạt và khả năng triển khai tự chủ, trở thành một sản phẩm hiện tượng trong lĩnh vực AI Agent cá nhân. Clawhub, trung tâm hệ sinh thái của nó, hoạt động như một cửa hàng ứng dụng, tập hợp một lượng lớn plugin chức năng Skill của bên thứ ba, cho phép Agent mở khóa ngay lập tức các khả năng cao cấp từ tìm kiếm web, sáng tạo nội dung đến thao tác ví tiền mã hóa, tương tác trên chuỗi, tự động hóa hệ thống, dẫn đến sự tăng trưởng bùng nổ về quy mô hệ sinh thái và số lượng người dùng.

Tuy nhiên, đối với các Skill của bên thứ ba chạy trong môi trường có quyền cao như vậy, ranh giới bảo mật thực sự của nền tảng nằm ở đâu?

Gần đây, CertiK, công ty bảo mật Web3 lớn nhất toàn cầu, đã công bố nghiên cứu mới nhất về bảo mật Skill. Báo cáo chỉ ra rằng thị trường hiện tại có sự hiểu lầm về ranh giới bảo mật của hệ sinh thái AI Agent: ngành công nghiệp phổ biến coi "quét Skill" là ranh giới bảo mật cốt lõi, nhưng cơ chế này gần như vô hiệu trước các cuộc tấn công của hacker.

Nếu so sánh OpenClaw với hệ điều hành của một thiết bị thông minh, thì Skill chính là các ứng dụng (APP) khác nhau được cài đặt trong hệ thống. Khác với các APP tiêu dùng thông thường, một số Skill trong OpenClaw chạy trong môi trường có quyền cao, có thể trực tiếp truy cập tệp cục bộ, gọi công cụ hệ thống, kết nối dịch vụ bên ngoài, thực thi lệnh trong môi trường máy chủ, thậm chí thao tác tài sản kỹ thuật số mã hóa của người dùng. Một khi xảy ra vấn đề bảo mật, nó sẽ trực tiếp dẫn đến hậu quả nghiêm trọng như rò rỉ thông tin nhạy cảm, thiết bị bị điều khiển từ xa, tài sản kỹ thuật số bị đánh cắp.

Hiện tại, giải pháp bảo mật phổ biến của toàn ngành đối với Skill của bên thứ ba là "quét và xét duyệt trước khi lên kệ". Clawhub của OpenClaw cũng đã xây dựng một hệ thống bảo vệ xét duyệt ba lớp: kết hợp quét mã VirusTotal, công cụ phát hiện mã tĩnh, phát hiện tính nhất quán logic bằng AI, đưa ra cảnh báo bảo mật cho người dùng thông qua phân loại rủi ro, cố gắng bảo vệ an ninh hệ sinh thái bằng cách này. Tuy nhiên, nghiên cứu và các bài kiểm tra tấn công bằng chứng khái niệm (PoC) của CertiK đã xác nhận rằng hệ thống phát hiện này có điểm yếu trong các cuộc đối đầu tấn công-phòng thủ thực tế và không thể đảm nhận vai trò cốt lõi của bảo vệ bảo mật.

Nghiên cứu trước tiên phân tích các hạn chế tự nhiên của cơ chế phát hiện hiện có:

Các quy tắc phát hiện tĩnh rất dễ bị bỏ qua. Cốt lõi của công cụ này dựa vào việc khớp đặc điểm mã để nhận diện rủi ro, ví dụ như xác định sự kết hợp giữa "đọc thông tin nhạy cảm môi trường + gửi yêu cầu mạng" là hành vi nguy hiểm cao. Tuy nhiên, kẻ tấn công chỉ cần sửa đổi cú pháp mã một chút, trong khi vẫn giữ nguyên logic độc hại, là có thể dễ dàng vượt qua việc khớp đặc điểm, giống như thay đổi cách diễn đạt đồng nghĩa cho nội dung nguy hiểm, khiến máy kiểm tra an ninh hoàn toàn mất tác dụng.

Xét duyệt bằng AI có điểm mù phát hiện bẩm sinh. Vị trí cốt lõi của xét duyệt AI trong Clawhub là "bộ phát hiện tính nhất quán logic", chỉ có thể phát hiện mã độc rõ ràng "chức năng khai báo không khớp với hành vi thực tế", nhưng bất lực trước các lỗ hổng khai thác được ẩn trong logic nghiệp vụ bình thường, giống như rất khó phát hiện cái bẫy chết người ẩn sâu trong các điều khoản từ một hợp đồng có vẻ tuân thủ.

Nguy hiểm hơn, quy trình xét duyệt có thiết kế sai sót cơ bản: ngay cả khi kết quả quét của VirusTotal vẫn ở trạng thái "đang xử lý", Skill chưa hoàn thành toàn bộ quy trình "kiểm tra sức khỏe" vẫn có thể được lên kệ công khai, người dùng có thể cài đặt mà không có cảnh báo, tạo cơ hội cho kẻ tấn công.

Để xác minh mức độ thiệt hại thực tế của rủi ro, nhóm nghiên cứu CertiK đã hoàn thành bài kiểm tra đầy đủ. Nhóm đã phát triển một Skill có tên "test-web-searcher", bề ngoài là một công cụ tìm kiếm web hoàn toàn tuân thủ, logic mã hoàn toàn tuân theo quy chuẩn phát triển thông thường, nhưng thực tế đã cấy lỗ hổng thực thi mã từ xa vào quy trình chức năng bình thường.

Skill này đã vượt qua việc phát hiện của công cụ tĩnh và xét duyệt AI, được cài đặt bình thường mà không có bất kỳ cảnh báo bảo mật nào khi quét VirusTotal vẫn ở trạng thái đang xử lý; cuối cùng, thông qua việc gửi một lệnh từ xa qua Telegram, đã kích hoạt thành công lỗ hổng, thực thi lệnh tùy ý trên thiết bị máy chủ (trong demo đã trực tiếp điều khiển hệ thống mở máy tính).

CertiK đã chỉ rõ trong nghiên cứu rằng những vấn đề này không phải là lỗi sản phẩm riêng của OpenClaw, mà là sự hiểu lầm phổ biến của toàn ngành công nghiệp AI Agent: ngành công nghiệp phổ biến coi "xét duyệt và quét" là tuyến phòng thủ bảo mật cốt lõi, nhưng lại bỏ qua nền tảng bảo mật thực sự, đó là sự cô lập bắt buộc khi chạy và quản lý quyền chi tiết. Điều này giống như việc cốt lõi bảo mật của hệ sinh thái iOS của Apple không bao giờ là xét duyệt nghiêm ngặt của App Store, mà là cơ chế sandbox bắt buộc của hệ thống, quản lý quyền chi tiết, cho phép mỗi APP chỉ chạy trong "khoang cách ly" riêng, không thể tự ý lấy quyền hệ thống. Trong khi đó, cơ chế sandbox hiện có của OpenClaw là tùy chọn chứ không bắt buộc, và phụ thuộc nhiều vào cấu hình thủ công của người dùng, đa số người dùng để đảm bảo tính khả dụng chức năng của Skill sẽ chọn tắt sandbox, cuối cùng khiến Agent ở trạng thái "chạy trần", một khi cài đặt Skill có lỗ hổng hoặc mã độc, sẽ trực tiếp dẫn đến hậu quả thảm khốc.

Đối với các vấn đề được phát hiện lần này, CertiK cũng đưa ra hướng dẫn bảo mật:

●    Đối với các nhà phát triển AI Agent như OpenClaw, cần đặt cô lập sandbox làm cấu hình bắt buộc mặc định cho Skill của bên thứ ba, tinh chỉnh mô hình quản lý quyền của Skill, tuyệt đối không cho phép mã của bên thứ ba mặc định kế thừa quyền cao từ máy chủ.

●    Đối với người dùng thông thường, Skill có nhãn "An toàn" trên thị trường Skill chỉ đại diện cho việc nó chưa được phát hiện có rủi ro, không có nghĩa là tuyệt đối an toàn. Trước khi cơ chế cô lập mạnh mẽ cơ bản được đặt làm cấu hình mặc định chính thức, khuyến nghị triển khai OpenClaw trên các thiết bị không quan trọng, không sử dụng hoặc máy ảo, tuyệt đối không để nó gần các tệp nhạy cảm, thông tin đăng nhập và tài sản mã hóa có giá trị cao.

Hiện tại, lĩnh vực AI Agent đang ở đêm trước của sự bùng nổ, tốc độ mở rộng hệ sinh thái tuyệt đối không thể vượt xa bước chân xây dựng bảo mật. Xét duyệt và quét chỉ có thể chặn các cuộc tấn công độc hại sơ cấp, nhưng sẽ không bao giờ trở thành ranh giới bảo mật cho Agent có quyền cao. Chỉ bằng cách chuyển từ "theo đuổi phát hiện hoàn hảo" sang "kiềm chế thiệt hại mặc định rủi ro tồn tại", thiết lập ranh giới cô lập bắt buộc từ cấp độ thời gian chạy, mới thực sự có thể đảm bảo đường cơ sở an toàn cho AI Agent, để cuộc cách mạng công nghệ này tiến bền vững và xa.