Lỗ hổng trong tác tử AI OpenClaw: Nguy cơ bị tấn công và đánh cắp dữ liệu

Cảnh báo an ninh từ cơ quan chức năng

Đội ngũ Phản ứng Khẩn cấp Mạng Máy tính Quốc gia Trung Quốc (CNCERT) vừa đưa ra cảnh báo về các vấn đề an ninh xuất phát từ việc sử dụng OpenClaw (trước đây là Clawdbot và Moltbot), một tác tử trí tuệ nhân tạo (AI) tự trị, mã nguồn mở và tự lưu trữ (self-hosted).

Trong một bài đăng trên WeChat, CNCERT lưu ý rằng "các cấu hình bảo mật mặc định vốn đã yếu kém" của nền tảng này, kết hợp với quyền truy cập đặc quyền vào hệ thống để thực thi các tác vụ tự trị, có thể bị kẻ xấu khai thác để chiếm quyền kiểm soát điểm cuối (endpoint).

Nguy cơ từ tấn công "Prompt Injection"

Một trong những rủi ro chính đến từ kỹ thuật tấn công "prompt injection" (tấn công chèn câu lệnh), trong đó các chỉ thị độc hại được nhúng vào một trang web. Nếu tác tử AI bị lừa truy cập và xử lý nội dung này, nó có thể làm rò rỉ thông tin nhạy cảm.

Kiểu tấn công này còn được gọi là tấn công prompt injection gián tiếp (IDPI) hoặc tấn công prompt injection xuyên miền (XPIA). Thay vì tương tác trực tiếp với mô hình ngôn ngữ lớn (LLM), kẻ tấn công lợi dụng các tính năng AI tưởng chừng vô hại như tóm tắt trang web hoặc phân tích nội dung để chạy các lệnh đã bị thao túng. Hậu quả có thể bao gồm việc qua mặt các hệ thống kiểm duyệt quảng cáo dựa trên AI, ảnh hưởng đến quyết định tuyển dụng, đầu độc tối ưu hóa công cụ tìm kiếm (SEO), và tạo ra các phản hồi thiên vị bằng cách che giấu các đánh giá tiêu cực.

Trong một bài blog được công bố gần đây, OpenAI cho biết các cuộc tấn công theo kiểu prompt injection đang ngày càng phát triển, không chỉ đơn thuần là đặt các chỉ thị trong nội dung bên ngoài mà còn kết hợp các yếu tố tấn công phi kỹ thuật (social engineering).

"Các tác tử AI ngày càng có khả năng duyệt web, truy xuất thông tin và thực hiện hành động thay mặt người dùng," OpenAI nhận định. "Những khả năng đó rất hữu ích, nhưng chúng cũng tạo ra những cách thức mới để kẻ tấn công cố gắng thao túng hệ thống."

Rủi ro không chỉ là lý thuyết

Nguy cơ tấn công prompt injection trong OpenClaw không phải là giả thuyết. Tháng trước, các nhà nghiên cứu tại PromptArmor đã phát hiện ra rằng tính năng xem trước liên kết (link preview) trong các ứng dụng nhắn tin như Telegram hoặc Discord có thể bị biến thành một kênh đánh cắp dữ liệu khi giao tiếp với OpenClaw thông qua một cuộc tấn công prompt injection gián tiếp.

Về cơ bản, ý tưởng là lừa tác tử AI tạo ra một URL do kẻ tấn công kiểm soát. Khi URL này được hiển thị dưới dạng xem trước liên kết trong ứng dụng nhắn tin, nó sẽ tự động truyền dữ liệu bí mật đến tên miền đó mà người dùng không cần phải nhấp vào liên kết.

"Điều này có nghĩa là trong các hệ thống tác tử có tính năng xem trước liên kết, việc đánh cắp dữ liệu có thể xảy ra ngay khi tác tử AI phản hồi người dùng, mà không cần người dùng nhấp vào liên kết độc hại," công ty bảo mật AI này cho biết.

Các mối đe dọa đáng lo ngại khác

Ngoài các câu lệnh lừa đảo, CNCERT cũng đã nhấn mạnh ba mối lo ngại khác:

• Xóa nhầm dữ liệu: OpenClaw có thể vô tình và không thể khôi phục việc xóa thông tin quan trọng do diễn giải sai chỉ thị của người dùng.
• "Kỹ năng" độc hại: Các tác nhân đe dọa có thể tải lên các "kỹ năng" (skills) độc hại lên các kho lưu trữ như ClawHub. Khi được cài đặt, chúng có thể chạy các lệnh tùy ý hoặc triển khai phần mềm độc hại.
• Khai thác lỗ hổng: Kẻ tấn công có thể khai thác các lỗ hổng bảo mật mới được tiết lộ gần đây trong OpenClaw để xâm nhập hệ thống và làm rò rỉ dữ liệu nhạy cảm.

CNCERT nói thêm: "Đối với các lĩnh vực quan trọng như tài chính và năng lượng, những vi phạm như vậy có thể dẫn đến rò rỉ dữ liệu kinh doanh cốt lõi, bí mật thương mại và kho mã nguồn, hoặc thậm chí gây tê liệt hoàn toàn toàn bộ hệ thống kinh doanh, gây ra những tổn thất không thể lường trước."

Khuyến nghị và biện pháp giảm thiểu

Để đối phó với những rủi ro này, người dùng và tổ chức được khuyên nên tăng cường kiểm soát mạng, ngăn chặn việc để lộ cổng quản lý mặc định của OpenClaw ra internet, cô lập dịch vụ trong một container, tránh lưu trữ thông tin đăng nhập dưới dạng văn bản thuần túy, chỉ tải xuống các "kỹ năng" từ các kênh đáng tin cậy, tắt tính năng tự động cập nhật cho các "kỹ năng" và luôn cập nhật tác tử lên phiên bản mới nhất.

Bối cảnh rộng hơn

Theo Bloomberg, diễn biến này xảy ra khi chính quyền Trung Quốc đã có động thái hạn chế các doanh nghiệp nhà nước và cơ quan chính phủ chạy các ứng dụng AI OpenClaw trên máy tính văn phòng nhằm ngăn chặn rủi ro an ninh. Lệnh cấm này được cho là cũng mở rộng đến gia đình của các quân nhân.

Sự phổ biến nhanh chóng của OpenClaw cũng đã khiến các tác nhân đe dọa lợi dụng hiện tượng này để phân phối các kho lưu trữ GitHub độc hại giả mạo trình cài đặt OpenClaw. Mục đích là để triển khai các phần mềm đánh cắp thông tin như Atomic và Vidar Stealer, cùng một phần mềm độc hại proxy dựa trên Golang có tên là GhostSocks.

Công ty an ninh mạng Huntress cho biết: "Chiến dịch này không nhắm vào một ngành cụ thể nào, mà nhắm mục tiêu rộng rãi đến những người dùng cố gắng cài đặt OpenClaw bằng các kho lưu trữ độc hại. Điều làm cho chiến dịch này thành công là phần mềm độc hại được lưu trữ trên GitHub, và kho lưu trữ độc hại đã trở thành đề xuất được xếp hạng cao nhất trong kết quả tìm kiếm AI của Bing cho từ khóa 'OpenClaw Windows'."