Một mối đe dọa chuỗi cung ứng mới đã xuất hiện trong hệ sinh thái các tác nhân AI, mang tính tinh vi và nghiêm trọng. Các nhà nghiên cứu đã phát hiện 23 plugin trên kho lưu trữ ClawHub được xuất bản dưới các phạm vi (scope) tổ chức chính thức mà không có bất kỳ sự cho phép nào từ ClawHub hoặc dự án mẹ OpenClaw. Những plugin này đã sử dụng tiền tố không gian tên đáng tin cậy để giả dạng các công cụ chính hãng, trong khi chúng được gửi bởi các tài khoản bên thứ ba không liên quan.
Vấn đề với Cơ chế Uy tín và Phạm vi
ClawHub là kho plugin và kỹ năng chính cho OpenClaw, hỗ trợ các gói plugin tương thích Claude cài đặt vào các tác nhân AI như Claude Code, Cursor và Codex. Kho lưu trữ này lập chỉ mục hơn 1.500 plugin và sử dụng hệ thống phạm vi tương tự npm, nơi tiền tố @owner/ trên tên plugin chỉ định người đã xuất bản. Vấn đề cốt lõi là việc thực thi mô hình tin cậy của ClawHub không nhất quán, cho phép các tài khoản bên ngoài xuất bản dưới các phạm vi tổ chức đã đăng ký mà không bị thách thức.
Phân tích về Scope Squatting
Các nhà phân tích tại Manifold Security đã xác định được tất cả 23 plugin giả mạo và báo cáo phát hiện của họ. Các plugin bị ảnh hưởng mang các tiền tố như @openclaw/ và @clawhub/, giống với các phạm vi mà ClawHub sử dụng cho các công cụ hợp pháp của mình. Bất kỳ nhà phát triển nào cài đặt một trong những plugin này đều có thể tin rằng nó đến trực tiếp từ nguồn chính thức. Toàn bộ 23 plugin đều thực thi mã bên trong môi trường tác nhân. Một số thực hiện các hành động có đặc quyền cao, bao gồm xử lý thanh toán tự động, chạy lệnh git cấp máy chủ, xuất cấu hình tác nhân và kết nối với các API bên ngoài. Dưới một phạm vi trông có vẻ chính thức, những khả năng này tạo ra một rủi ro chuỗi cung ứng đáng tin cậy mà hầu hết các nhà phát triển sẽ không nghi ngờ.
Phản ứng và Giải pháp ban đầu
Sau khi phát hiện, Manifold đã báo cáo vấn đề cho ClawHub vào ngày 17 tháng 6 năm 2026, thông qua quy trình xử lý tư vấn bảo mật của GitHub, tiếp theo là một email thiện chí vào ngày hôm sau. Đến ngày 19 tháng 6, ClawHub đã gỡ bỏ tất cả 23 plugin gây hiểu lầm và bổ sung quy trình giải quyết tranh chấp chính thức để báo cáo việc sử dụng không được phép không gian tên. Cốt lõi của vấn đề này là một kỹ thuật mà các nhà nghiên cứu gọi là “scope squatting”, trong đó một plugin được xuất bản dưới một không gian tên tổ chức mà người xuất bản thực sự không sở hữu. Trong các hệ thống như npm, điều này được ngăn chặn tự động vì chỉ các thành viên đã xác minh của một tổ chức mới có thể xuất bản dưới phạm vi đã đăng ký của nó.
Chi tiết về các Plugin Giả mạo
ClawHub đã ghi lại quy tắc tương tự trong hướng dẫn xuất bản của mình nhưng đã không thực thi nhất quán trên tất cả các plugin trong danh mục của nó. Trong số 1.508 plugin, 557 mang tiền tố @owner/, nhưng không phải tất cả đều có quyền sở hữu đã được xác minh. 23 plugin được xác định thuộc về 15 tài khoản riêng biệt, với một số tài khoản nắm giữ nhiều plugin giả mạo. Tên plugin như @openclaw/security-gate, @openclaw/fiat-wallet và @clawhub/aisa-twitter-api nghe giống như các công cụ cấp nền tảng, làm tăng thêm sự lừa dối đáng kể cho bất kỳ ai duyệt hoặc tự động hóa việc cài đặt. Sáu trong số 23 plugin đã bị ClawHub gắn cờ là đáng ngờ bởi chính trình quét của nó, nhưng 17 plugin còn lại đã vượt qua kiểm tra.
Tác động và Rủi ro Tiềm ẩn
Cuộc tấn công vào ClawHub phản ánh một xu hướng rộng lớn hơn trong hệ sinh thái tác nhân AI, nơi sự tăng trưởng nhanh chóng đang vượt qua các kiểm soát bảo mật. Một plugin duy nhất có thể đính kèm các hook chuyển tiếp lời nhắc hoặc biến môi trường đến các máy chủ bên ngoài, kéo thêm các kỹ năng bổ sung hoặc âm thầm thay đổi cài đặt tác nhân, thường không có dấu hiệu rõ ràng cho người dùng. Khi các plugin đó mang một “huy hiệu” chính thức mà chúng không có được, rủi ro bảo mật trở nên khó phát hiện hơn nhiều. Mặc dù đánh giá thủ công của Manifold không tìm thấy mã độc hại nào trong các phiên bản được xem xét, nhưng họ nhấn mạnh rằng một bản cập nhật trong tương lai đối với bất kỳ plugin nào trong số này có thể đưa hành vi độc hại vào mà không cần cảnh báo.
Khuyến nghị Bảo mật
Các nhà phát triển làm việc với các tác nhân AI nên xác minh cẩn thận nguồn gốc plugin trước khi cài đặt, đối chiếu tài khoản xuất bản với những người đóng góp đã biết của tổ chức chính thức. Các kho lưu trữ được xây dựng dựa trên sự tin cậy dựa trên phạm vi nên thực thi quyền sở hữu tại điểm xuất bản thay vì chỉ dựa vào kiểm tra sau xuất bản. Sau khi Manifold công khai vấn đề, ClawHub đã hành động nhanh chóng bằng cách gỡ bỏ các plugin và khởi động quy trình yêu cầu không gian tên, một mô hình mà các kho lưu trữ plugin AI khác nên xem xét áp dụng. Theo dõi các nguồn tin tức đáng tin cậy và các thông báo bảo mật là rất quan trọng để cập nhật các mối đe dọa mạng mới nhất.
Indicators of Compromise (IoCs)
Tài liệu nguồn không chứa các tạo tác IoC cụ thể như địa chỉ IP, hàm băm tệp hoặc tên miền độc hại. Tuy nhiên, các định danh plugin sau đây đại diện cho các mục scope-squatting trái phép đã được ghi nhận bởi Manifold Security:
@openclaw/whatsapp@openclaw/codex@openclaw/security-gate@openclaw/fiat-wallet@clawhub/aisa-twitter-api
Lưu ý: Địa chỉ IP và tên miền cố tình bị làm suy yếu (ví dụ: [.]) để ngăn chặn việc phân giải hoặc liên kết ngoài ý muốn. Chỉ sử dụng lại trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Để cập nhật thêm thông tin về các lỗ hổng CVE và các mối đe dọa an ninh mạng mới nhất, hãy tham khảo các nguồn uy tín như NVD (National Vulnerability Database) hoặc các bản tin bảo mật từ các tổ chức hàng đầu trong ngành.
