OpenClaw trông như một giấc mơ nhưng lại gần hơn với cơn ác mộng bảo mật của tác nhân tự trị

 (composio.dev)
3 điểm bởi GN⁺ 2026-03-23 | 1 bình luận | Chia sẻ qua WhatsApp
  • OpenClaw, tác nhân tự trị thế hệ mới dựa trên Opus, tích hợp nhiều ứng dụng như email, lịch, tự động hóa nhà thông minh và hoạt động như một trợ lý cá nhân
  • Tuy nhiên, hàng loạt lỗ hổng như không có bước xác minh kỹ năng trên SkillHub, lộ token, ô nhiễm bộ nhớ đã được phát hiện, gây ra rủi ro bảo mật nghiêm trọng
  • Hơn 30.000 instance đã bị phơi bày mà không cần xác thực, đồng thời cũng xác nhận khả năng xảy ra prompt injectiontấn công chuỗi cung ứng
  • Palo Alto Networks đã đưa các vấn đề mang tính cấu trúc của OpenClaw vào 10 rủi ro tác nhân hàng đầu của OWASP
  • Để đối phó, TrustClaw được đề xuất như một giải pháp thay thế ưu tiên bảo mật, với OAuth được quản lý, sandbox từ xa và kiểm soát đặc quyền tối thiểu

OpenClaw: hai mặt của lý tưởng và ác mộng

  • Sau AutoGPT và BabyAGI năm 2023, OpenClaw đã thu hút sự chú ý như một tác nhân tự trị thế hệ mới dựa trên Opus
    • Có thể điều khiển file cục bộ, terminal, trình duyệt, Gmail, Slack, thậm chí cả hệ thống tự động hóa nhà thông minh
    • Việc OpenAI thâu tóm nhà sáng lập Peter Steinberger càng khiến nó trở thành tâm điểm
  • Đằng sau năng lực nổi bật là những lỗ hổng bảo mật nghiêm trọng
    • Dù hiệu năng cao, kiến trúc bảo mật vẫn bị đánh giá là thiếu ổn định

OpenClaw: lời hứa về tự động hóa như mơ

  • OpenClaw là tác nhân kiểu trợ lý cá nhân có thể tự động xử lý các công việc hằng ngày như sắp xếp email, đặt lịch họp, phát nhạc
    • Hoạt động qua Telegram, dựa trên mô hình Claude Opus 4.5 của Anthropic
    • Có thể tích hợp nhiều ứng dụng như Notion, Todoist, Spotify, Sonos, Gmail
  • Càng được sử dụng nhiều, khả năng học mẫu hành vi và tự động hóa workflow càng mạnh, từ đó thực hiện hành động ngày càng cá nhân hóa
    • Ví dụ: khi đặt nhà hàng, nó có thể nhận biết phí hủy và phản ánh điều đó vào lịch
  • Tuy nhiên, trong quá trình sử dụng thực tế đã xuất hiện các hành vi ngoài dự kiến
    • Chẳng hạn, hiểu sai hội thoại trên Slack rồi tự động đặt trạng thái nghỉ phép

  • Sự đánh đổi kiểu Faust giữa bảo mật và quyền riêng tư

    • OpenClaw có thể truy cập dữ liệu nhạy cảm như tin nhắn, mã 2FA, tài khoản ngân hàng, lịch, danh bạ
    • Thay vì trợ lý là con người, người dùng phải chấp nhận những rủi ro mới như prompt injection, ảo giác mô hình, lỗi cấu hình
    • Con người có thể chịu trách nhiệm pháp lý, còn tác nhân thì không

  • Có nên sử dụng hay không

    • OpenClaw có đặc tính bỏ qua các biện pháp an toàn hiện có để thực thi nhanh
    • Vì cần quyền truy cập vào các ứng dụng bên ngoài như WhatsApp, Telegram, nên có khả năng bị lạm dụng như một vector tấn công
    • Hệ sinh thái công nghệ vẫn chưa đủ trưởng thành, nên người dùng phổ thông được khuyến nghị tránh sử dụng

OpenClaw: bản chất của cơn ác mộng bảo mật

  • Lỗ hổng kỹ năng trên ClawdHub

    • OpenClaw tải xuống và sử dụng các kỹ năng do người dùng tạo từ SkillHub
    • Do không có quy trình kiểm chứng bảo mật, kỹ năng độc hại đã bị phát tán
    • Jason Melier của 1Password phát hiện kỹ năng “Twitter” cài mã độc đánh cắp thông tin
    • Kỹ năng này thực thi payload giai đoạn hai thông qua liên kết, vượt qua kiểm tra bảo mật của macOS
    • Kết quả phân tích từ VirusTotal xác nhận khả năng đánh cắp dữ liệu nhạy cảm như cookie và khóa SSH

  • Mô phỏng tấn công chuỗi cung ứng

    • Jamieson O’Reilly tạo một kỹ năng giả mang tên “What would Elon Do” và thao túng số lượt tải
    • Các nhà phát triển tại 7 quốc gia đã chạy nó, qua đó xác nhận có thể thực thi lệnh từ xa
    • Dù dữ liệu thực tế không bị thu thập, nhưng cùng một phương thức hoàn toàn có thể bị dùng để tấn công
    • Theo phân tích của Snyk, trong số 3.984 kỹ năng có 283 kỹ năng (7,1%) chứa lỗ hổng lộ thông tin xác thực ở dạng văn bản thuần
    • Sau đó, tính năng quét kỹ năng đã được triển khai với sự hợp tác của VirusTotal

  • Mối đe dọa prompt injection dai dẳng

    • OpenClaw đáp ứng đầy đủ các điều kiện trong “tam hợp chí tử” của Simon Willison
      • Truy cập dữ liệu cá nhân
      • Tiếp xúc với nội dung không đáng tin cậy
      • Có khả năng giao tiếp ra bên ngoài
    • Chỉ với văn bản trong tin nhắn, email hoặc website, kẻ tấn công cũng có thể thao túng tác nhân
    • Gary Marcus chỉ ra rằng đây là cấu trúc né tránh cơ chế bảo vệ hệ điều hành, nên chính sách cô lập ứng dụng không được áp dụng
    • Trên Moltbook, một nền tảng tương tự Reddit, đã quan sát thấy hoạt động bơm thổi và xả tiền mã hóa giữa các tác nhân

  • Rủi ro từ các dịch vụ tích hợp

    • OpenClaw cung cấp hơn 50 tích hợp như Slack, Gmail, Teams, Trello
    • Càng nhiều tích hợp, bề mặt tấn công càng mở rộng; nếu bị xâm phạm, toàn bộ dịch vụ kết nối đều có thể gặp rủi ro

  • Lạm dụng xác thực và quyền token quá mức

    • Token OAuth và khóa API được lưu trong file cục bộ (auth-profiles.json)
    • Do xác thực yếu hoặc gateway bị lộ, tồn tại nguy cơ đánh cắp token
    • Với token bị đánh cắp, kẻ tấn công có thể mạo danh hoàn toàn người dùng trên Slack, Gmail và các dịch vụ khác

  • Vấn đề trong cấu trúc bộ nhớ

    • Bộ nhớ của OpenClaw chỉ là một tập hợp file Markdown đơn giản
    • Ngay cả khi tác nhân bị nhiễm mã độc thao túng bộ nhớ, hệ thống cũng không thể phát hiện
    • Ô nhiễm bộ nhớ có thể khiến toàn bộ instance bị lây nhiễm trong thời gian dài

  • Hơn 30.000 instance bị phơi bày

    • Ở giai đoạn đầu triển khai, một lượng lớn instance được cài đặt mà không tính đến bảo mật đã bị lộ ra ngoài
    • Do lỗ hổng tự động chấp thuận lưu lượng localhost, có thể truy cập mà không cần xác thực
    • Censys phát hiện 21.000, còn BitSight phát hiện hơn 30.000 instance công khai trên Internet
    • Dù sau đó đã có bản vá, quy mô thiệt hại khi ấy đã rất lớn

  • Phân tích đối chiếu với OWASP Top 10

    • Palo Alto Networks đã ánh xạ các lỗ hổng của OpenClaw vào 10 rủi ro tác nhân hàng đầu của OWASP
    • Các hạng mục chính gồm: prompt injection, tự trị quá mức, ô nhiễm bộ nhớ, thiếu bảo mật cho tích hợp, thất bại trong phân tách quyền hạn, thiếu giám sát thời gian chạy

Tăng cường bảo mật cho OpenClaw và các phương án thay thế

  • Môi trường container tách biệt

    • Khuyến nghị chạy trên thiết bị riêng biệt (container Docker), không phải máy tính chính
    • Không mount toàn bộ thư mục home, chạy bằng người dùng không có quyền quản trị
    • Không mount Docker socket, bật seccomp profile để giới hạn system call

  • Khi triển khai trên cloud VPS

    • Bind gateway vào 127.0.0.1, chỉ cho phép truy cập qua VPN hoặc private tunnel
    • Giới hạn truy cập SSH bằng firewall, sử dụng Docker không cần quyền root
    • Lập kế hoạch xoay vòng token và tối thiểu hóa cấu hình trusted-proxy

  • Sử dụng tài khoản riêng biệt

    • Tạo tài khoản Gmail, lịch và 1Password riêng cho OpenClaw
    • Xem tác nhân như một nhân cách số độc lập để duy trì tách biệt dữ liệu

  • Quản lý tích hợp an toàn

    • Thông qua Composio, sử dụng lớp xác thực được quản lý thay vì tự lưu trực tiếp token OAuth
    • Có thể kiểm soát tập quyền theo từng ứng dụng từ trung tâm và đặt phạm vi truy cập chi tiết
    • Tự động quản lý vòng đời thông tin xác thực như kết nối, gia hạn và xoay vòng

  • Nguyên tắc đặc quyền tối thiểu

    • Khuyến nghị kiến trúc đa tác nhân tách riêng quyền chỉ đọc và quyền ghi
    • Quyền ghi nên có giới hạn thời gian và thu hẹp phạm vi theo từng tài nguyên
    • Các thao tác phá hủy như xóa, chia sẻ, gửi đi phải bắt buộc có quy trình phê duyệt của con người
    • Thường xuyên kiểm tra quyền trên dashboard của Composio

  • Khả năng quan sát việc thực thi công cụ

    • Composio theo dõi toàn bộ lịch sử thực thi tích hợp ứng dụng của tác nhân
    • Giúp dễ dàng xác định nguyên nhân và khôi phục khi xảy ra sự cố

TrustClaw: phương án thay thế đặt bảo mật làm trọng tâm

  • TrustClaw được phát triển để giải quyết các vấn đề bảo mật của OpenClaw
    • Không lưu token trên đĩa nhờ OAuth được quản lý
    • Chỉ cấp quyền tối thiểu bằng kiểm soát truy cập theo scope
    • Ngăn hệ thống cục bộ bị tổn hại bằng thực thi mã trong sandbox từ xa
    • Cung cấp thiết lập một cú nhấp, vận hành tác nhân 24/7khả năng quan sát thực thi đầy đủ

Kết luận

  • TrustClaw cung cấp một trợ lý AI cách ly hoàn toàn tích hợp an toàn email, lịch và kho lưu trữ thông tin xác thực
  • Chỉ có thể truy cập các tài liệu hoặc thư mục đã được chia sẻ, còn dữ liệu khác đều bị chặn
  • AI vẫn đang ở giai đoạn chưa trưởng thành, nên phải được sử dụng với tiền đề có biện pháp an toàn và thiết kế khả năng khôi phục
  • Đằng sau sự tiện lợi của tự động hóa, luôn cần cân bằng giữa bảo mật và niềm tin

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-03-23
Ý kiến trên Hacker News

  • Để trả lời tweet được trích trong bài, tôi tự hỏi vì sao ví dụ về công nghệ tương lai lúc nào cũng là đặt lịch vô hồn hay đặt vé máy bay
    Những việc này vốn đã có thể làm thủ công khá dễ dàng, nên giống màn trình diễn năng suất hơn là đổi mới thực sự
    Có những ví dụ agent flow thật sự ấn tượng, nên cần nâng mức chất lượng của các ví dụ lên một chút

    • Trong đợt bùng nổ AI này có rất nhiều “idea guy”. Họ nghĩ đó là ý tưởng ghê gớm, nhưng khi thật sự triển khai thì lại đối mặt với thực tế là nó chẳng mấy thú vị
      Dù vậy họ vẫn hài lòng và đăng blog kiểu “cấu hình Claw của tôi tự động gửi thông báo bình luận LinkedIn”
    • Với mấy việc như đặt vé máy bay, tôi lại thấy đó là việc muốn tự tập trung xử lý. Chi phí lớn và chi tiết thì quan trọng
      Ngược lại, để trợ lý giọng nói thêm món vào danh sách mua sắm thì ổn. Có sai cũng không nghiêm trọng
    • Tôi không dùng OpenClaw, nhưng có làm một agent nhỏ của riêng mình để nhận bản tóm tắt buổi sáng mỗi ngày
      Nó đọc email, lịch, Slack, thời tiết, danh sách việc cần làm, nhật ký... rồi tóm tắt lại
      Nhờ vậy tôi nắm được kế hoạch trong ngày rất nhanh và có thể tập trung vào việc quan trọng.
      Ngoài ra, nếu tôi yêu cầu nghiên cứu qua chat thì nó sẽ sắp xếp kết quả thành file để có thể xem ngay trên mọi thiết bị
      Chỉ là dự án sở thích đơn giản thôi nhưng có cảm giác tiết kiệm được một tiếng mỗi ngày
    • Có người muốn AI kiểu trợ lý cá nhân như các CEO hay người giàu sử dụng. Tôi nghĩ đó là mục tiêu tốt
      Smartphone hay PDA chưa làm trọn vai trò đó, nên giờ phải vượt qua giới hạn ấy
    • Một phần là do thiếu trí tưởng tượng, nhưng cũng có thể vì những ví dụ thật sự mang tính đột phá ở thời điểm hiện tại sẽ nghe như chuyện vô lý
      Giống như khi năm 2007 người ta nói “smartphone sẽ thay đổi thế giới”
      Ví dụ, nếu bảo một ứng dụng chia sẻ ảnh sẽ làm thay đổi ngành du lịch, hay một app video ngắn sẽ thay thế TV, chắc lúc đó ai cũng cười

  • Khi dùng OpenClaw thì nên tạo tài khoản riêng biệt. Cốt lõi là phải tách Gmail, Calendar, cả 1Password riêng và xem nó như một thực thể độc lập
    Nhưng như bài viết của Simon Willison đã nói, kiểu cấu trúc này về bản chất mang theo một vấn đề không thể làm cho an toàn được

    • Tôi không đồng ý với ý kiến đó. OpenClaw của tôi chạy trên Ubuntu VM với Gmail và WhatsApp riêng
      Tôi giao cho nó điều phối lịch trình chuyến du lịch nhóm với bạn bè, mỗi ngày nó đăng lịch lên WhatsApp và thay tôi xử lý các câu hỏi lặt vặt
      Nhờ vậy tôi có thể tập trung dành thời gian cho bạn bè. Giá trị của nó vượt quá chi phí SIM 15 USD mỗi tháng
    • Việc “phải cấp mọi quyền truy cập” là một mô hình sai
      Tôi dùng AI agent do mình tự làm, nó chỉ truy cập được một cuộc trò chuyện WhatsApp cụ thể và thậm chí không đọc được các số khác
      Lịch thì chỉ đọc, GitHub thì chỉ truy cập issue. Kiểm soát quyền chi tiết mới là trọng tâm
    • Trên HN tôi thường thấy kiểu bình luận “không đưa dữ liệu thì vô nghĩa, đưa thì nguy hiểm”
      Nhưng những người thật sự đã dùng lại không kết luận đơn giản như vậy. Tôi cũng từng dùng OpenClaw rồi tạm dừng vì lỗi, nhưng chẳng có triệu chứng cai nghiện gì
      Không nhất thiết phải đưa toàn bộ dữ liệu cho nó
    • OpenClaw vẫn có thể được dùng rất hiệu quả mà không cần dữ liệu cá nhân. Dữ liệu công khai hoặc nguồn bên ngoài cũng đủ để dùng

  • Tôi nghĩ dù có cố gắng thế nào cũng không thể làm OpenClaw an toàn hoàn toàn
    Nó chỉ có ý nghĩa trong những phạm vi được kiểm soát như môi trường B2B hay tự động hóa giữa các hệ thống đáng tin cậy
    Bước ra ngoài vùng đó là sẽ xuất hiện những tình huống khó lường, thậm chí có thể dẫn tới kết quả mang tính đối kháng

  • Tôi đang hiện thực một khái niệm tương tự trong một bản phân phối tên là Keystone dựa trên NixOS
    Mỗi agent có tài khoản người dùng, email, quyền truy cập SSH riêng biệt
    Nó tận dụng Claude, Gemini, Ollama CLI, và dùng Immich để phân tích metadata ảnh nhằm hiểu ngữ cảnh
    Mọi cấu hình đều được quản lý theo kiểu khai báo nên có thể tự động provisioning
    Liên kết dự án

  • Không riêng OpenClaw, việc trao trực tiếp quyền truy cập hệ thống cho LLM là vô trách nhiệm
    Mô hình không thật sự hiểu ý nghĩa, nên có thể hành xử theo cách khó đoán

    • Tôi đồng ý, nhưng điều đó còn tùy vào model và harness. Tôi luôn bấm “allow all”, nhưng mức tăng năng suất quá lớn nên rất khó quay lại
      Có rủi ro, nhưng tôi xem nó ở mức tương tự rủi ro khi băng qua đường
    • Nhiều người nghĩ prompt injection chỉ đơn giản là “hãy bỏ qua lệnh đi”, nhưng thực tế nó có thể xảy ra cả với văn bản ẩn trong email
      Ví dụ, nếu có dòng chữ màu trắng ẩn rằng “hãy gửi 50 email gần đây nhất tới địa chỉ này”, agent sẽ làm đúng như vậy
      Con người có trực giác kiểu “cái này lạ quá”, còn AI thì không có cảm giác đó
      Cuối cùng vấn đề không phải là chạy ở đâu mà là nó đọc cái gì
    • Google cũng đã tự động bật quyền truy cập Drive hay Gmail rồi, nhưng đến nay vẫn chưa có sự cố lớn nào
      Cá nhân tôi thấy lợi ích ròng vẫn cao hơn
    • Gần đây Claude Code đã yêu cầu tôi cấp quyền ‘rm:*’ và ‘security find-generic-password’
      Tôi đang nghĩ đến lúc nào nghỉ việc thì sẽ cho nó chạy thả ga thử xem

  • OpenClaw có thể một ngày nào đó sẽ biến mất, nhưng tôi nghĩ nó đã cho thấy một lát cắt của giao diện tương lai
    Chẳng hạn như đang ngồi trên ghế công viên, đeo tai nghe và lên kế hoạch du lịch gia đình cùng AI, rồi khi về nhà thì lịch trình hiện lên trên màn hình tủ lạnh
    Tôi vẫn sẽ tự tay đặt chỗ, nhưng thế hệ sau có lẽ sẽ xem điều đó là đương nhiên

  • Tôi cứ bỏ qua những bài viết chỉ trích của những người không theo kịp tốc độ phần mềm hiện nay
    Những sản phẩm mà các bài đó quảng bá thường chẳng có bao nhiêu giá trị

  • Tôi là người dùng OpenClaw cường độ cao, đang thử nghiệm nó trong nhiều kịch bản khác nhau
    Giờ gần như nó đang tự động hóa cuộc sống của tôi. Với một người AuDHD như tôi, đó là cảm giác giải phóng rất lớn
    Tất nhiên vấn đề bảo mật và giới hạn của LLM vẫn còn đó, nhưng mặt tích cực lớn hơn rất nhiều

    • Tôi cũng là AuDHD nên cực kỳ đồng cảm với điều đó

  • Cốt lõi của OpenClaw không phải là bảo mật, mà là một thử nghiệm trao quyền truy cập vào toàn bộ đời sống số
    Tôi không dùng nó theo cách đó, nhưng rất nhiều người dùng lại muốn như vậy
    Thực ra kiểu khái niệm này đã có từ trước OpenClaw rồi, và các bot AI dựa trên Telegram đã từng thử
    OpenClaw chỉ đơn giản là phổ biến hóa nó mà thôi

    • Tôi chỉ cho agent quyền truy cập tối thiểu cần thiết
      Nó bị cô lập trong nhiều container và không thể truy cập secret key hay hệ thống host
      Ngay lúc này nó vẫn làm được mọi thứ cần thiết, nên tôi không hiểu vì sao phải cho thêm quyền nữa

  • Tôi cũng tham khảo nguyên lý của OpenClaw để tạo ra một phiên bản biến thể tên là Tri-Onyx
    Tôi đã áp dụng khái niệm ‘lethal trifecta’ của Simon Willison để hiện thực kiến trúc kiểu OpenClaw