Lỗ hổng leo thang đặc quyền OpenClaw (CVE-2026-33579)

 (nvd.nist.gov)
3 điểm bởi GN⁺ 18 ngày trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Đã phát hiện lỗ hổng leo thang đặc quyền cho phép người dùng không phải quản trị viên phê duyệt yêu cầu quyền quản trị viên trong các phiên bản trước OpenClaw 2026.3.28
  • Trong lệnh /pair approve, do thiếu truyền scope nên quá trình xác minh phê duyệt không được thực hiện đúng cách, dẫn đến vấn đề xác thực quyền không chính xác (CWE-863)
  • Lỗ hổng này được đánh giá ở mức 8.6 theo CVSS v4.08.1 theo v3.1, đều thuộc mức nghiêm trọng cao (HIGH)
  • Mã dễ bị tấn công nằm trong extensions/device-pair/index.tssrc/infra/device-pairing.ts, và đã được khắc phục trong phiên bản 2026.3.28
  • Người dùng và quản trị viên nên cập nhật lên phiên bản đã vá và tham khảo khuyến nghị bảo mật GitHub (GHSA-hc5h-pmr3-3497)

Tổng quan lỗ hổng

  • Các phiên bản OpenClaw trước 2026.3.28 có tồn tại lỗ hổng leo thang đặc quyền
    • Trên đường đi của lệnh /pair approve, thiếu truyền scope của bên gọi khiến việc xác minh phê duyệt không được thực hiện đúng
    • Người dùng chỉ có quyền ghép cặp vẫn có thể phê duyệt yêu cầu thiết bị bao gồm cả quyền truy cập quản trị viên mà không cần quyền quản trị viên
    • Vị trí mã dễ bị tấn công được xác định trong extensions/device-pair/index.tssrc/infra/device-pairing.ts

Ảnh hưởng và mức độ nghiêm trọng

  • 8.6 theo CVSS v4.0 (HIGH)

    • Vector: AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

  • 8.1 theo CVSS v3.1 (HIGH)

    • Vector: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
    • Được phân loại là CWE-863 (Incorrect Authorization)
    • Vấn đề này cho phép người dùng không phải quản trị viên thực hiện các thao tác cấp quản trị do cơ chế xác thực quyền bị sai

Phần mềm bị ảnh hưởng

  • Các phiên bản OpenClaw Node.js trước 2026.3.28 bị ảnh hưởng
    • Định danh CPE: cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
    • Vấn đề đã được khắc phục trong các phiên bản sau đó

Bản vá và khuyến nghị

Lịch sử thay đổi

  • 2026-03-31: VulnCheck đăng ký CVE mới và bổ sung thông tin CVSS
  • 2026-04-01: NIST thực hiện phân tích ban đầu và bổ sung cấu hình CPE
  • Các thay đổi chính
    • Điều chỉnh vector CVSS v3.1
    • Bổ sung CWE-863
    • Thêm liên kết bản vá GitHub và khuyến nghị

Nguồn và thông tin quản lý

  • CVE ID: CVE-2026-33579
  • Cơ quan phát hành: NIST National Vulnerability Database (NVD)
  • Nguồn đăng ký: VulnCheck
  • Ngày công bố đầu tiên: 31 tháng 3 năm 2026
  • Ngày cập nhật cuối: 1 tháng 4 năm 2026

Bài viết liên quan

1 bình luận

 
GN⁺ 18 ngày trước
Ý kiến trên Hacker News

  • Tôi là tác giả của OpenClaw
    Vấn đề lần này là một lỗi leo thang đặc quyền, nhưng không đến mức “chỉ với một tin nhắn Telegram/Discord bất kỳ là có thể chiếm toàn bộ instance”
    Nguyên nhân là do bản vá chưa hoàn chỉnh, và đường dẫn lệnh plugin /pair approve đã gọi hàm phê duyệt mà không có callerScopes, khiến có thể vượt qua scope-ceiling
    Nói cách khác, client vốn đã có quyền truy cập gateway có thể dùng lệnh /pair approve latest để phê duyệt quyền rộng hơn (ví dụ: operator.admin)
    Đây không phải vấn đề riêng của Telegram hay nhà cung cấp tin nhắn nào, mà là lỗ hổng trong logic chung của bộ xử lý lệnh plugin
    Trong trường hợp Telegram, chính sách DM mặc định chặn người lạ, nên không thể “chỉ với một tin nhắn là giành quyền quản trị”
    Nếu dùng làm trợ lý cá nhân thì rủi ro thực tế rất thấp, và hiện tôi đang cùng các kỹ sư từ Nvidia, ByteDance, Tencent và OpenAI củng cố codebase

    • Tôi muốn biết liệu có thể giải thích thêm về thống kê của OP không
      Tôi muốn xác nhận xem câu “hơn 135k instance OpenClaw đang công khai, và trong đó 63% đang chạy không có xác thực nên ai cũng có thể gửi yêu cầu pairing” có đúng hay không
      Nếu điều này là thật thì bức tranh sẽ hoàn toàn khác so với mức độ rủi ro mà tác giả nói tới
    • Tôi tò mò cụm “đang làm việc cùng Nvidia, ByteDance, Tencent, OpenAI” cụ thể có nghĩa là gì
      Không rõ là có hợp đồng với họ hay chỉ đơn giản là nhân viên của các công ty đó đã đóng góp cho mã nguồn mở
    • “Nvidia, ByteDance, Tencent, OpenAI? Wow!”
      Thật bất ngờ khi có những công ty lớn như vậy cùng tham gia
    • Có người đùa kiểu “chẳng phải viết code đã là bài toán được giải quyết rồi sao?”
      Và thêm một câu châm biếm AI theo kiểu “cứ prompt Claude Code rằng ‘hãy tăng cường bảo mật’ là xong mà”

  • Chia sẻ liên kết days-since-openclaw-cve.com
    Nói rằng kể từ khi OpenClaw ra mắt, trung bình có 1,8 CVE được báo cáo mỗi ngày

    • Cảm giác con số đó thực sự khủng khiếp
      Tất nhiên với một dự án được chú ý như OpenClaw thì có thể sẽ bị phát hiện nhiều lỗ hổng hơn, nhưng “1,8 mỗi ngày” thì theo lẽ thường là quá nhiều
      Điều đó khiến người ta đặt câu hỏi liệu một người hợp lý có nên tránh phần mềm đó hay không

  • Chia sẻ liên kết bản lưu của bài đăng Reddit gốc đã bị xóa

    • Có lẽ nó đã bị xóa vì bị xem là spam AI
      Nghe nói các bài viết khác của tác giả cũng đều là quảng cáo cho các dự án AI
    • Có người nói “tôi sẽ thêm liên kết đó vào phần văn bản ở trên”

  • Tôi không dùng OpenClaw, nhưng chạy Claude CodeCodex trong tài khoản người dùng macOS bị hạn chế
    Thông qua script become-agent [cmd ...], tôi chạy chúng bằng sudo trong tài khoản bị hạn chế để chúng không thể truy cập biến môi trường hay thư mục của tôi
    Làm vậy ít phức tạp hơn so với sandbox-exec đầy đủ mà vẫn an toàn
    Các hệ thống Unix vốn mạnh ở kiểu cấu trúc cô lập đa người dùng này

    • Tôi nghĩ sandboxing ở cấp kernel là quan trọng
      Tôi dùng một công cụ tên greywall để cô lập filesystem và mạng ở mức syscall (dựa trên Landlock + Seccomp + eBPF)
      Tuy vậy, tôi không đồng ý với ý kiến rằng “Unix không được thiết kế cho việc chạy các agent như thế này”
    • Dùng công cụ container mã nguồn mở của Apple thì có thể khởi động Linux VM trong dưới 100ms mà không cần quyền root
      Với Apple Virtualization Framework, cũng có thể chạy macOS VM với một Apple ID riêng biệt

  • Thật ngạc nhiên là mọi người vẫn còn dùng OpenClaw
    Tôi đã nghĩ họ đều chuyển sang Nanoclaw hoặc Nemoclaw rồi, nên tự hỏi có phải chỉ vì quán tính hay không

    • Tôi đang dùng Hermes
      Bất kỳ agent nào cũng nên được chạy trong sandbox
      Liên kết GitHub của Hermes
    • NemoClaw chỉ là một wrapper bảo mật cho OpenClaw, không phải sản phẩm thay thế
    • Có người nói thẳng rằng “OpenClaw không tốt, nhưng đa số mọi người không biết điều đó”

  • Tôi cho rằng đây là kết quả đã được báo trước
    Việc những người thiếu kiến thức bảo mật đem instance ra công khai là ngớ ngẩn, nhưng đồng thời việc giờ đây ai cũng có thể làm các thử nghiệm IT thú vị lại là điều tuyệt vời
    Cuối cùng thì đây là vấn đề cân bằng giữa tự do và rủi ro — giống như tự sửa ô tô, thú vị nhưng nếu làm sai thì có thể gây tai nạn lớn
    Dạo này bảo mật, quyền riêng tư và biến đổi khí hậu đều đang đi xuống, nhưng con người vẫn ưu tiên ham muốn “muốn tạo ra thứ gì đó ngầu”

    • Vấn đề là nhiều người thậm chí còn không nhận thức được những rủi ro này
    • Cũng như “ví dụ về chiếc xe”, cấu hình sai có thể gây hại cho cả người khác
      Người dùng thiếu kiến thức bảo mật có thể đẩy toàn bộ Internet vào tình thế rủi ro
      Cuối cùng, cả xã hội sẽ phải trả giá cho những thử nghiệm vô trách nhiệm

  • Tôi cảm thấy phản ứng trong thread /r/sysadmin giống hệt cuộc trò chuyện của những quản trị viên hệ thống điển hình mà tôi từng gặp

  • Tiêu đề có vẻ hơi giật tít kiểu clickbait
    Thực tế chỉ nguy hiểm khi OpenClaw đang chạy trên máy chủ công khai
    Nếu 135 nghìn trong 500 nghìn là instance công khai thì xét theo tỷ lệ cũng không quá lớn

    • Có người nói “1/5 thì khi nói về bảo mật phải xem là ‘khá nhiều’ rồi”
    • Có người nói thêm “nếu trên 25% thì mức ‘có lẽ là vậy’ đã là đủ rồi”
    • Có người cho rằng con số “135k instance” khó đáng tin
    • Có người bày tỏ sự nghi ngờ bằng câu đùa “thống kê 35% là bịa ra”
    • Dù vậy, nếu 65% đang chạy không có xác thực thì vẫn rất nguy hiểm
      Dù tiêu đề có cường điệu, nếu nó giúp nâng cao cảnh giác về bảo mật thì vẫn có ý nghĩa

  • Có người nói “chỉ nguy hiểm khi instance OpenClaw bị công khai trên Internet”

    • Nhưng có người chỉ ra rằng cho tới gần đây, cấu hình mặc định vẫn bind vào 0.0.0.0
      Nếu là kiểu người tưởng router sẽ tự chặn giúp thì không nên dùng OpenClaw
      Họ chia sẻ liên kết issue và commit liên quan

  • Có người khẳng định rằng “về mặc định thì đây không phải cấu hình khiến quyền quản trị bị lộ ra Internet”