Cổng tác nhân AI mã nguồn mở Clawdbot đang đối mặt với những rủi ro bảo mật nghiêm trọng. Hiện tại, hơn 900 phiên bản không xác thực đã bị lộ trên internet, kèm theo nhiều lỗ hổng trong mã nguồn cho phép đánh cắp thông tin xác thực và thực thi mã từ xa.
Clawdbot là một trợ lý AI cá nhân mã nguồn mở, được thiết kế để tích hợp với các nền tảng nhắn tin phổ biến như WhatsApp, Telegram, Slack, Discord, Signal và iMessage.
Kiến trúc Clawdbot và Cơ chế Hoạt động
Hệ thống bao gồm hai thành phần chính:
- Gateway: Đây là bộ phận kiểm soát các hoạt động như xử lý WebSocket, thực thi công cụ và quản lý thông tin xác thực.
- Control UI: Giao diện người dùng web này dùng để cấu hình, quản lý lịch sử trò chuyện và các khóa API.
Clawdbot thường được triển khai thông qua npm trên Node.js ≥22. Mặc định, nó liên kết với loopback trên cổng 18789, nhưng có thể hỗ trợ truy cập từ xa thông qua các giải pháp như Tailscale hoặc các reverse proxy như nginx/Caddy.
Phát hiện và Phạm vi Rủi ro Bảo mật
Vào ngày 23 tháng 1 năm 2026, nhà nghiên cứu bảo mật Jamieson O’Reilly đã công bố chi tiết các vấn đề này trên nền tảng X. O’Reilly đã nhấn mạnh các cấu hình sai phổ biến trong cổng tác nhân AI mã nguồn mở này.
Để phát hiện các phiên bản bị lộ, O’Reilly đã sử dụng các công cụ OSINT như Shodan. Ông truy vấn bằng thẻ tiêu đề HTML duy nhất của Control UI, “Clawdbot Control”, và nhanh chóng tìm thấy hàng trăm trường hợp công khai ngay sau khi triển khai.
Các dịch vụ như Shodan và Censys có khả năng lập chỉ mục các dấu vân tay HTTP, bao gồm favicons hoặc các cụm từ cụ thể, giúp nhanh chóng phát hiện các hệ thống.
Tương tự, các bản quét đã tiết lộ hơn 900 cổng Gateway bị lộ trên cổng 18789, phần lớn trong số đó không được xác thực.
Dữ liệu nhạy cảm bị lộ
Trong khi một số phiên bản có cơ chế xác thực, nhiều phiên bản khác đã để lộ hoàn toàn các tệp cấu hình, khóa API Anthropic, token Telegram/Slack và lịch sử trò chuyện kéo dài hàng tháng.
Phân tích Kỹ thuật về Lỗ hổng Bảo mật
Vấn đề cốt lõi bắt nguồn từ logic xác thực của Clawdbot, cụ thể là tính năng tự động phê duyệt cho localhost.
Tính năng này ban đầu được thiết kế để hỗ trợ phát triển cục bộ, nhưng lại bị khai thác khi Clawdbot được đặt phía sau các reverse proxy.
Các reverse proxy thường chuyển tiếp lưu lượng truy cập thông qua địa chỉ 127.0.0.1. Do tham số gateway.trustedProxies mặc định là trống, nó bỏ qua các tiêu đề X-Forwarded-For.
Điều này dẫn đến việc Clawdbot coi mọi kết nối đến từ proxy là kết nối cục bộ.
O’Reilly đã xác nhận lỗ hổng này qua mã nguồn: địa chỉ socket xuất hiện dưới dạng cục bộ, cấp quyền truy cập tự động vào WebSockets và Control UI. Một vấn đề trên GitHub cũng đã ghi nhận việc lộ Control UI liên quan đến cơ chế này.
Một Pull Request đã được gửi để tăng cường bảo mật. Tài liệu của Clawdbot hiện khuyến nghị cài đặt trustedProxies: ["127.0.0.1"] và cấu hình proxy để ghi đè các tiêu đề nhằm ngăn chặn giả mạo địa chỉ nguồn.
Tác động và Khả năng Khai thác
Các máy chủ bị lộ cho phép kẻ tấn công thực hiện những hành vi xâm nhập nghiêm trọng. Khả năng đọc dữ liệu có thể dẫn đến việc đánh cắp thông tin xác thực (khóa API, OAuth secrets) và toàn bộ lịch sử trò chuyện kèm tệp đính kèm.
Kẻ tấn công có thể kế thừa quyền điều khiển tác nhân AI, cho phép gửi tin nhắn, thực thi công cụ hoặc thao túng nhận thức bằng cách lọc các phản hồi.
Một số phiên bản Clawdbot được chạy dưới dạng các container root, cho phép thực thi các lệnh tùy ý trên máy chủ mà không cần xác thực. Đây là một điểm yếu nghiêm trọng có thể dẫn đến remote code execution toàn diện.
Biện pháp Khắc phục và Khuyến nghị An ninh mạng
Tài liệu của Clawdbot khuyến nghị thực hiện kiểm tra bảo mật chuyên sâu bằng lệnh clawdbot security audit --deep để phát hiện các điểm yếu. Đồng thời, cần thắt chặt chính sách DM/group và quyền.
Đối với các thiết lập sử dụng proxy, điều quan trọng là phải kích hoạt chế độ xác thực bằng mật khẩu thông qua gateway.auth.mode: "password" và biến môi trường CLAWDBOT_GATEWAY_PASSWORD, cũng như cấu hình các proxy đáng tin cậy.
Sau khi phát hiện bị lộ, người dùng cần xoay vòng ngay lập tức tất cả các thông tin nhạy cảm đã bị ảnh hưởng, bao gồm token xác thực, khóa mô hình và thông tin xác thực kênh.
Thay vì liên kết trực tiếp, người dùng nên sử dụng các giải pháp như Tailscale Serve/Funnel hoặc Cloudflare Tunnels để cung cấp quyền truy cập an toàn hơn.
Bản phát hành Clawdbot mới nhất (2026.1.14-1, ngày 15 tháng 1) được phát hành trước khi các báo cáo về lỗ hổng này xuất hiện. Người dùng nên chạy lệnh clawdbot doctor để thực hiện các bản di chuyển cần thiết.
Để giảm thiểu lỗ hổng bảo mật, người dùng nên tiến hành kiểm tra các điểm lộ lọt ngay lập tức. Các tác nhân AI tập trung vào các tài sản có giá trị cao, đòi hỏi phải tăng cường bảo mật proxy và áp dụng nguyên tắc đặc quyền tối thiểu theo mặc định.
Tham khảo thêm thông tin chi tiết về các lỗ hổng bảo mật và cách vá lỗi trên National Vulnerability Database (NVD).
