OpenClaw vừa được vá ba lỗ hổng CVE mức độ trung bình, ảnh hưởng đến cơ chế kiểm soát chính sách, cấu hình gateway và ghi đè host trong framework tác tử AI này. Các vấn đề được phát hiện trong gói npm có thể dẫn đến remote code execution gián tiếp, vượt qua policy enforcement và làm lộ thông tin xác thực nếu hệ thống đang chạy phiên bản cũ hơn 2026.4.20.
Lỗ hổng CVE trong OpenClaw và phiên bản bị ảnh hưởng
OpenClaw, trước đây được biết đến với tên Clawdbot và Moltbot, đã phát hành bản cập nhật 2026.4.20 để khắc phục toàn bộ ba lỗ hổng CVE. Người dùng đang vận hành các phiên bản trước mốc này cần nâng cấp ngay để giảm rủi ro bảo mật trong môi trường AI agent.
Tham chiếu công khai cho các advisory liên quan có thể xem trên GitHub Security Advisories: https://github.com/advisories.
GHSA-7jm2-g593-4qrc: Bypass mutation của cấu hình gateway
Lỗ hổng đầu tiên, định danh GHSA-7jm2-g593-4qrc, nằm ở cách OpenClaw xử lý các thay đổi cấu hình agent gateway. Các cơ chế bảo vệ hiện có không kiểm soát đầy đủ một số thiết lập nhạy cảm do operator tin cậy, bao gồm:
- Sandbox policies
- Plugin enablements
- Server-Side Request Forgery (SSRF) policies
- Filesystem hardening rules
Nếu một mô hình AI nhận được chỉ thị prompt injection và có quyền truy cập vào công cụ gateway chỉ dành cho chủ sở hữu, nó có thể thay đổi lâu dài các thiết lập này. Đây là dạng model-to-operator guard bypass, không phải khai thác từ xa không xác thực, nhưng vẫn tạo ra nguy cơ bảo mật đáng kể cho môi trường vận hành.
Bản vá đã chặn các mutation do mô hình điều khiển trên một tập đường dẫn rộng hơn, nhằm ngăn việc thay đổi trái phép các cấu hình operator-trusted.
GHSA-qrp5-gfw2-gxv4: Bỏ qua chính sách với bundled tools
Lỗ hổng thứ hai, GHSA-qrp5-gfw2-gxv4, ảnh hưởng đến cách OpenClaw xử lý các công cụ Model Context Protocol và Language Server Protocol được đóng gói kèm. Ở phiên bản dễ bị ảnh hưởng, các bundled tools có thể được đưa vào tập công cụ đang hoạt động sau khi hệ thống đã áp dụng các quy tắc lọc cốt lõi.
Điều này khiến một số chính sách như deny list, sandbox rule hoặc owner-only restriction có thể bị vượt qua. Kết quả là công cụ bị chặn vẫn có thể tồn tại trong active tool set, làm suy giảm hiệu lực của cảnh báo CVE đối với policy enforcement.
Bản phát hành mới đã khắc phục bằng cách áp dụng một bước kiểm tra chính sách cuối cùng, toàn diện hơn, trước khi hợp nhất mọi bundled tool vào active tool set.
GHSA-h2vw-ph2c-jvwf: Ghi đè API host qua workspace environment file
Lỗ hổng thứ ba, GHSA-h2vw-ph2c-jvwf, nằm ở cấu hình workspace. Kẻ tấn công kiểm soát được file environment cục bộ có thể thao túng thiết lập API host bằng cách chèn một URL độc hại vào cấu hình.
Khi đó, các yêu cầu hợp lệ đã được xác thực có thể bị chuyển hướng tới máy chủ bên ngoài do kẻ tấn công kiểm soát. Việc chuyển hướng này có thể làm lộ API keys trong các outbound authorization headers, dẫn đến rò rỉ dữ liệu nhạy cảm và thông tin rò rỉ trong quá trình gọi dịch vụ.
Để xử lý, OpenClaw đã chặn việc inject giá trị API host thông qua workspace environment files, từ đó ngăn kiểu tấn công đánh cắp credential này.
Tác động kỹ thuật và phạm vi rủi ro
Cả ba lỗ hổng CVE đều tập trung vào lớp điều phối của framework tác tử AI, nơi chính sách, công cụ và cấu hình môi trường được kết hợp để phục vụ tác vụ tự động. Khi các lớp này bị vượt qua, hệ thống có thể gặp xâm nhập trái phép ở mức logic, dù không nhất thiết là khai thác từ xa theo kiểu truyền thống.
Điểm đáng chú ý là các lỗi này có thể làm suy yếu kiểm soát nội bộ, đặc biệt trong môi trường triển khai có prompt injection, tool chaining hoặc workspace config do người dùng cục bộ kiểm soát. Với nhóm lỗ hổng CVE này, việc cập nhật bản vá và rà soát policy là yêu cầu bắt buộc để giảm nguy cơ bảo mật.
Khuyến nghị cập nhật và kiểm tra phiên bản
OpenClaw đã phát hành 2026.4.20 để vá toàn bộ vấn đề. Các tổ chức đang sử dụng OpenClaw nên kiểm tra ngay phiên bản package đang triển khai và nâng cấp đồng bộ trên môi trường sản xuất, staging và các workspace liên quan.
Để đối chiếu thông tin lỗ hổng, có thể tham khảo hệ thống NVD của NIST tại: https://nvd.nist.gov/.
Trong bối cảnh tin tức bảo mật liên quan đến AI agent framework ngày càng tăng, việc cập nhật bản vá, giới hạn quyền của tool, và kiểm soát workspace environment là các biện pháp cần được duy trì liên tục.
