360 trí tuệ nhân tạo phát hiện lỗ hổng nguy hiểm cao trong OpenClaw, ảnh hưởng đến 170.000 trường hợp trên toàn cầu

Tập đoàn An ninh số 360 thuộc Trung Quốc, trong một hệ thống khai thác lỗ hổng phối hợp đa tác tử của mình, đã phát hiện một lỗ hổng có mức độ nguy hiểm cao trong công cụ tác nhân AI OpenClaw và đã được Cơ sở dữ liệu lỗ hổng bảo mật quốc gia Trung Quốc về lỗ hổng thông tin (CNNVD) xác nhận. Lỗ hổng ảnh hưởng đến hơn 170.000 phiên bản có thể truy cập công khai tại hơn 50 quốc gia và khu vực trên toàn cầu, cho phép kẻ tấn công chỉ với quyền của thành viên cơ bản trong nhóm chat có thể vượt qua toàn bộ chính sách bảo mật của mọi công cụ trên nền tảng, trực tiếp đánh cắp thông tin nhạy cảm trên máy chủ.

Lõi của lỗ hổng: Điểm mù mang tính cấu trúc của giao thức MEDIA

Các nhà nghiên cứu an ninh của 360 đã đặt tên lỗ hổng này là “Lỗ hổng đọc file cục bộ do Prompt injection bỏ qua quyền công cụ trong giao thức MEDIA”, mức độ nguy hiểm của nó bắt nguồn từ khiếm khuyết cốt lõi trong thiết kế kiến trúc của OpenClaw.

Giao thức MEDIA chạy ở lớp xử lý sau đầu ra, nằm sau cơ chế kiểm soát chính sách công cụ của nền tảng, do đó có thể hoàn toàn vượt qua mọi giới hạn khi gọi công cụ. Điều này có nghĩa là, ngay cả khi quản trị viên đã tắt rõ ràng mọi quyền gọi công cụ trên OpenClaw, kẻ tấn công vẫn có thể khai thác lỗ hổng này, chỉ cần quyền của thành viên cơ bản trong nhóm chat — không cần bất kỳ giấy phép/chứng thực đặc biệt — để trực tiếp đánh cắp các tệp nhạy cảm cục bộ trên máy chủ.

Khiếm khuyết thiết kế kiểu “vượt qua ở lớp xử lý sau” này khiến các chiến lược phòng vệ danh sách trắng công cụ truyền thống hoàn toàn mất hiệu lực; kẻ tấn công có thể sử dụng các công cụ tự động hóa để phát động các cuộc quét quy mô lớn nhắm vào 170.000 phiên bản phơi bày trên toàn cầu và có thể dùng điều này như điểm tựa ban đầu cho các cuộc xâm nhập tiếp theo.

Sự bùng nổ toàn cầu của OpenClaw và tình hình ứng dụng tại Trung Quốc

OpenClaw được kỹ sư người Áo Peter Steinberger công bố mã nguồn mở vào tháng 11 năm 2025. Đây là một ứng dụng tác nhân AI miễn phí có thể gửi lệnh thông qua các ứng dụng nhắn tin tức thời như WhatsApp để tự chủ điều khiển ứng dụng trên máy tính, trình duyệt web và các thiết bị nhà thông minh. Dưới đây là các dữ liệu then chốt về tình hình áp dụng trên toàn cầu của nó:

Quy mô người dùng Trung Quốc đứng đầu toàn cầu: Theo phân tích của SecurityScorecard tại New York, người dùng hoạt động ở Trung Quốc vào khoảng gấp đôi Mỹ — quốc gia xếp hạng thứ hai

Hệ sinh thái thương mại hình thành nhanh: Trên các nền tảng công nghệ của Trung Quốc xuất hiện dịch vụ cài đặt và cấu hình OpenClaw, với giá dao động từ 7 đến 100 USD

Các phiên bản dẫn xuất bản địa hóa: DuClaw, QClaw, ArkClaw và các bản tùy chỉnh tiếng Trung lần lượt được ra mắt

Hỗ trợ bằng trợ cấp của chính phủ: Nhiều chính quyền địa phương cam kết cung cấp trợ cấp cho các doanh nghiệp áp dụng trợ lý ảo

Quy mô đe dọa an ninh: Hơn 50 quốc gia trên toàn cầu và hơn 170.000 phiên bản OpenClaw có thể truy cập công khai đều đang đối mặt với mối đe dọa lỗ hổng lần này

Cảnh báo kép từ các tổ chức: Cơ quan an ninh và cơ sở dữ liệu lỗ hổng quốc gia phản hồi đồng bộ

Trước khi 360 công bố lỗ hổng này, hai cơ quan an ninh mạng quốc gia của Trung Quốc đã lên tiếng cảnh báo trước, nêu rằng việc triển khai OpenClaw có “rủi ro nghiêm trọng”, bao gồm khả năng điều khiển từ xa và rò rỉ dữ liệu, đồng thời phát hành các khuyến nghị an toàn chi tiết, bao phủ từ người dùng cá nhân đến nhà cung cấp dịch vụ doanh nghiệp và đám mây.

Xác nhận chính thức của CNNVD có nghĩa là mối đe dọa an ninh này đã được nâng cấp từ đánh giá mang tính cảnh báo lên thành bề mặt tấn công chủ động đã được xác thực. Các nhà nghiên cứu an ninh cho biết, do các phiên bản bị ảnh hưởng đều có thể truy cập công khai, cộng với đặc tính ngưỡng thấp của cổng nhóm chat, tính khả thi của các cuộc tấn công tự động hóa quy mô lớn là rất cao, vì vậy việc sửa chữa nhanh chóng hiện là nhiệm vụ ưu tiên cấp bách nhất.

Câu hỏi thường gặp

Vì sao lỗ hổng giao thức MEDIA của OpenClaw đặc biệt nguy hiểm?

Giao thức MEDIA chạy ở lớp xử lý sau đầu ra, nằm sau cơ chế kiểm soát chiến lược công cụ của nền tảng; nhờ đó có thể hoàn toàn vượt qua mọi quy tắc cấm của các công cụ đã được cấu hình. Dù quản trị viên đã tắt toàn bộ việc gọi công cụ, kẻ tấn công vẫn có thể khai thác lỗ hổng này, chỉ cần quyền thành viên cơ bản trong nhóm chat là có thể trực tiếp đọc các tệp nhạy cảm cục bộ trên máy chủ, khiến các chiến lược bảo mật công cụ truyền thống hoàn toàn mất hiệu lực.

Các phiên bản OpenClaw bị ảnh hưởng nên khẩn cấp ứng phó thế nào?

Trước khi phát hành bản vá chính thức, khuyến nghị áp dụng các biện pháp giảm thiểu khẩn cấp sau: hạn chế việc các phiên bản OpenClaw bị lộ tiếp xúc trực tiếp với mạng công khai; tạm dừng các chức năng liên quan đến giao thức MEDIA; thực hiện kiểm soát xác thực danh tính chặt chẽ đối với việc truy cập của thành viên trong nhóm chat; tiếp tục giám sát các hành vi truy cập bất thường vào các thư mục nhạy cảm trên máy chủ.

Lỗ hổng này ảnh hưởng thế nào đến các môi trường OpenClaw triển khai cho doanh nghiệp và chính phủ?

Xác nhận chính thức của CNNVD có nghĩa là lỗ hổng này có tính khả thi của tấn công ở mức độ cao và đáng tin cậy. Đối với các doanh nghiệp đã triển khai OpenClaw trong môi trường sản xuất (bao gồm những đơn vị được nhà nước địa phương Trung Quốc hỗ trợ trợ cấp và đã chọn sử dụng), cần tiến hành ngay việc kiểm toán an ninh, đánh giá mức độ phơi lộ thực tế của rủi ro rò rỉ dữ liệu, đặc biệt là các phiên bản đã bật chức năng nhóm chat và nơi giao thức MEDIA đang ở trạng thái được kích hoạt.