CertiK Thực Nghiệm: OpenClaw Skill Chứa Lỗ Hổng Làm Thế Nào Để Lừa Qua Kiểm Duyệt, Tiếp Quản Máy Tính Mà Không Cần Ủy Quyền

Gần đây, nền tảng tác nhân AI tự lưu trữ mã nguồn mở OpenClaw (thường được gọi trong cộng đồng là "Tôm hùm đất") đã nhanh chóng trở nên phổ biến nhờ tính mở rộng linh hoạt và đặc tính triển khai tự chủ, kiểm soát, trở thành sản phẩm hiện tượng trong lĩnh vực tác nhân AI cá nhân. Clawhub, trung tâm hệ sinh thái của nó, đóng vai trò như một cửa hàng ứng dụng, tập hợp một lượng lớn plugin chức năng Skill của bên thứ ba, cho phép tác nhân AI mở khóa ngay lập tức các khả năng cao cấp từ tìm kiếm web, sáng tạo nội dung đến thao tác ví tiền mã hóa, tương tác trên chuỗi, tự động hóa hệ thống, dẫn đến sự tăng trưởng bùng nổ về quy mô hệ sinh thái và số lượng người dùng.

Tuy nhiên, đối với các Skill của bên thứ ba chạy trong môi trường có quyền cao như vậy, ranh giới bảo mật thực sự của nền tảng nằm ở đâu?

Gần đây, CertiK, công ty bảo mật Web3 lớn nhất toàn cầu, đã công bố nghiên cứu mới nhất về bảo mật Skill. Bài viết chỉ ra rằng thị trường hiện tại có sự hiểu lầm về ranh giới bảo mật của hệ sinh thái tác nhân AI: ngành công nghiệp phổ biến coi "quét Skill" là ranh giới bảo mật cốt lõi, nhưng cơ chế này gần như vô hiệu trước các cuộc tấn công của hacker.

Nếu so sánh OpenClaw với hệ điều hành của một thiết bị thông minh, thì Skill chính là các ứng dụng APP khác nhau được cài đặt trong hệ thống. Khác với các APP tiêu dùng thông thường, một số Skill trong OpenClaw chạy trong môi trường có quyền cao, có thể trực tiếp truy cập tệp cục bộ, gọi công cụ hệ thống, kết nối dịch vụ bên ngoài, thực thi lệnh môi trường máy chủ, thậm chí thao tác tài sản kỹ thuật số mã hóa của người dùng. Một khi xảy ra vấn đề bảo mật, sẽ trực tiếp dẫn đến hậu quả nghiêm trọng như rò rỉ thông tin nhạy cảm, thiết bị bị tiếp quản từ xa, tài sản kỹ thuật số bị đánh cắp.

Hiện tại, giải pháp bảo mật phổ biến của toàn ngành đối với Skill của bên thứ ba là "quét và xét duyệt trước khi lên kệ". Clawhub của OpenClaw cũng đã xây dựng một hệ thống bảo vệ xét duyệt ba lớp: tích hợp quét mã VirusTotal, công cụ phát hiện mã tĩnh, phát hiện tính nhất quán logic AI, thông báo cảnh báo bảo mật cho người dùng thông qua phân loại rủi ro, cố gắng bảo vệ an toàn hệ sinh thái bằng cách này. Tuy nhiên, nghiên cứu và các bài kiểm tra tấn công bằng chứng khái niệm của CertiK đã xác nhận rằng hệ thống phát hiện này có điểm yếu trong các cuộc đối đầu tấn công-phòng thủ thực tế và không thể đảm nhận trọng trách cốt lõi của bảo mật.

Nghiên cứu đầu tiên phân tích các hạn chế tự nhiên của cơ chế phát hiện hiện có:

Quy tắc phát hiện tĩnh rất dễ bị bỏ qua. Công cụ cốt lõi này chủ yếu dựa vào việc khớp đặc điểm mã để nhận diện rủi ro, ví dụ như kết hợp "đọc thông tin nhạy cảm môi trường + gửi yêu cầu mạng" được đánh giá là hành vi nguy hiểm cao, nhưng kẻ tấn công chỉ cần sửa đổi cú pháp mã một chút, trong khi vẫn giữ nguyên logic độc hại, có thể dễ dàng bỏ qua việc khớp đặc điểm, giống như thay thế nội dung nguy hiểm bằng một cách diễn đạt đồng nghĩa khác, khiến máy kiểm tra an ninh hoàn toàn mất tác dụng.

Xét duyệt AI có điểm mù phát hiện bẩm sinh. Vị trí cốt lõi của xét duyệt AI trong Clawhub là "bộ phát hiện tính nhất quán logic", chỉ có thể phát hiện mã độc rõ ràng "chức năng khai báo không phù hợp với hành vi thực tế", nhưng bất lực trước các lỗ hổng khai thác ẩn trong logic nghiệp vụ bình thường, giống như rất khó phát hiện cái bẫy chết người ẩn sâu trong các điều khoản từ một hợp đồng có vẻ tuân thủ.

Nguy hiểm hơn, quy trình xét duyệt có thiết kế sai sót cơ bản: ngay cả khi kết quả quét của VirusTotal vẫn ở trạng thái "đang xử lý", Skill chưa hoàn thành toàn bộ quy trình "kiểm tra sức khỏe" vẫn có thể lên kệ công khai, người dùng có thể cài đặt mà không có cảnh báo, tạo cơ hội cho kẻ tấn công.

Để xác minh tác hại thực tế của rủi ro, nhóm nghiên cứu CertiK đã hoàn thành bài kiểm tra đầy đủ. Nhóm đã phát triển một Skill có tên "test-web-searcher", bề ngoài là một công cụ tìm kiếm web hoàn toàn tuân thủ, logic mã hoàn toàn phù hợp với quy chuẩn phát triển thông thường, nhưng thực tế đã cấy lỗ hổng thực thi mã từ xa vào quy trình chức năng bình thường.

Skill này đã vượt qua việc phát hiện của công cụ tĩnh và xét duyệt AI, thực hiện cài đặt bình thường mà không có bất kỳ cảnh báo bảo mật nào khi quét VirusTotal vẫn ở trạng thái đang xử lý; cuối cùng thông qua việc gửi một lệnh từ xa qua Telegram, đã kích hoạt thành công lỗ hổng, thực hiện thực thi lệnh tùy ý trên thiết bị máy chủ (trong demo đã trực tiếp điều khiển hệ thống mở máy tính).

CertiK đã chỉ rõ trong nghiên cứu rằng những vấn đề này không phải là lỗi sản phẩm riêng của OpenClaw, mà là sự hiểu lầm phổ biến của toàn ngành công nghiệp tác nhân AI: ngành công nghiệp phổ biến coi "xét duyệt quét" là tuyến phòng thủ bảo mật cốt lõi, nhưng bỏ qua nền tảng bảo mật thực sự, đó là cô lập bắt buộc khi chạy và kiểm soát quyền chi tiết. Điều này giống như cốt lõi bảo mật của hệ sinh thái iOS của Apple, không bao giờ là xét duyệt nghiêm ngặt của App Store, mà là cơ chế sandbox bắt buộc của hệ thống, kiểm soát quyền chi tiết, cho phép mỗi APP chỉ chạy trong "khoang cách ly" riêng, không thể tự ý lấy quyền hệ thống. Trong khi cơ chế sandbox hiện có của OpenClaw là tùy chọn chứ không bắt buộc, và phụ thuộc nhiều vào cấu hình thủ công của người dùng, đa số người dùng để đảm bảo tính khả dụng chức năng của Skill sẽ chọn tắt sandbox, cuối cùng khiến tác nhân AI ở trạng thái "chạy trần", một khi cài đặt Skill có lỗ hổng hoặc mã độc, sẽ trực tiếp dẫn đến hậu quả thảm khốc.

Đối với các vấn đề được phát hiện lần này, CertiK cũng đưa ra hướng dẫn bảo mật:

● Đối với các nhà phát triển tác nhân AI như OpenClaw, phải đặt cô lập sandbox làm cấu hình bắt buộc mặc định cho Skill của bên thứ ba, tinh chỉnh mô hình kiểm soát quyền của Skill, tuyệt đối không cho phép mã của bên thứ ba mặc định kế thừa quyền cao của máy chủ.

● Đối với người dùng thông thường, Skill có nhãn "an toàn" trên thị trường Skill chỉ đại diện cho việc nó chưa được phát hiện rủi ro, không bằng với tuyệt đối an toàn. Trước khi cơ quan chính thức đặt cơ chế cô lập mạnh mẽ cơ bản làm cấu hình mặc định, đề xuất triển khai OpenClaw trên các thiết bị không quan trọng, không sử dụng hoặc máy ảo, tuyệt đối không để nó gần các tệp nhạy cảm, chứng chỉ mật khẩu và tài sản mã hóa có giá trị cao.

Hiện tại, lĩnh vực tác nhân AI đang ở đêm trước của sự bùng nổ, tốc độ mở rộng hệ sinh thái tuyệt đối không thể chạy nhanh hơn bước chân xây dựng bảo mật. Xét duyệt quét chỉ có thể chặn các cuộc tấn công độc hại sơ cấp, nhưng không bao giờ có thể trở thành ranh giới bảo mật cho tác nhân AI có quyền cao. Chỉ có cách chuyển từ "theo đuổi phát hiện hoàn hảo" sang "ngăn chặn thiệt hại mặc định tồn tại rủi ro", thiết lập ranh giới cô lập bắt buộc từ cấp độ cơ bản khi chạy, mới thực sự đảm bảo đường cơ sở an toàn cho tác nhân AI, để cuộc cách mạng công nghệ này tiến bền vững và xa.

Bài nghiên cứu gốc: https://x.com/hhj4ck/status/2033527312042315816?s=20

https://mp.weixin.qq.com/s/Wxrzt7bAo86h3bOKkx6 UoA