Một lỗ hổng bảo mật nghiêm trọng trong OpenClaw, trợ lý AI mã nguồn mở được hơn 100.000 nhà phát triển tin dùng, đã được phát hiện và vũ khí hóa thành một khai thác remote code execution một cú nhấp chuột có khả năng gây thiệt hại lớn. Lỗ hổng này cho phép những kẻ tấn công giành quyền kiểm soát hoàn toàn hệ thống nạn nhân thông qua một liên kết độc hại duy nhất, không yêu cầu tương tác của người dùng.
Tổng quan về Lỗ hổng Kiểm soát Toàn diện trong OpenClaw
Các nhà nghiên cứu bảo mật tại Depthfirst General Security Intelligence đã khám phá một lỗ hổng logic mà khi kết hợp với các lỗ hổng khác, có thể kích hoạt một chuỗi phản ứng tấn công. Kiến trúc của OpenClaw cấp cho các tác nhân AI quyền truy cập “chế độ thần” vào các ứng dụng nhắn tin, khóa API và kiểm soát không giới hạn máy tính cục bộ. Mặc dù sự nhiệt tình của cộng đồng đã thúc đẩy việc áp dụng nhanh chóng nền tảng này, biên độ an toàn trong môi trường đặc quyền cao như vậy trở nên cực kỳ mỏng.
Cuộc tấn công chiếm quyền điều khiển này được thực hiện thông qua khai thác ba thành phần riêng biệt hoạt động tuần tự. Chúng bao gồm việc thu nạp tham số URL không an toàn, kết nối cổng ngay lập tức không xác thực và tự động truyền các mã thông báo xác thực.
Cơ chế Khai thác Chi tiết
Chuỗi Khai thác Ban đầu và Lộ thông tin
Chuỗi khai thác bắt đầu với ba hoạt động tưởng chừng vô hại xảy ra độc lập trong toàn bộ codebase:
- Mô-đun app-settings.ts mù quáng chấp nhận tham số truy vấn gatewayUrl từ URL mà không xác thực, sau đó lưu trữ trực tiếp vào localStorage.
- Khi khởi tạo ứng dụng, app-lifecycle.ts ngay lập tức kích hoạt hàm connectGateway(), tự động gói authToken nhạy cảm về bảo mật vào quá trình bắt tay kết nối với máy chủ cổng do kẻ tấn công kiểm soát.
Mô hình này tạo ra một lỗ hổng tiết lộ thông tin nghiêm trọng. Kịch bản tấn công tiếp tục khai thác một lỗi xác thực origin WebSocket bổ sung.
Lỗi Xác thực Origin WebSocket (CSWSH)
Khi nạn nhân truy cập một trang web độc hại, mã JavaScript do kẻ tấn công chèn sẽ thực thi trong ngữ cảnh trình duyệt của họ. Mã này thiết lập một kết nối cục bộ đến phiên bản OpenClaw của nạn nhân đang chạy trên cổng localhost:18789.
Không giống như các kết nối HTTP tiêu chuẩn, các triển khai WebSocket của trình duyệt không thực thi các biện pháp bảo vệ Same-Origin Policy. Thay vào đó, chúng dựa vào xác thực tiêu đề origin phía máy chủ, điều mà OpenClaw bỏ qua hoàn toàn. Lỗi này dẫn đến lỗ hổng Cross-Site WebSocket Hijacking (CSWSH), cho phép kẻ tấn công xoay trục thông qua trình duyệt của nạn nhân như một proxy.
Thông tin chi tiết về lỗ hổng này đã được DepthFirst công bố trên blog của họ. Tham khảo thêm tại: DepthFirst Advisory.
Chiếm Quyền Điều khiển và Thực thi Lệnh
Sau khi được xác thực thông qua mã thông báo bị đánh cắp, kẻ tấn công khai thác các vai trò operator.admin và operator.roles.approvals để tắt các cơ chế an toàn. Một yêu cầu exec.approvals.set sẽ tắt các lời nhắc xác nhận của người dùng. Tiếp theo, một yêu cầu config.patch sẽ đặt tools.exec.host thành “gateway”, buộc thực thi lệnh trực tiếp trên máy chủ thay vì trong các môi trường sandbox được cô lập.
Payload cuối cùng gọi node.invoke với các lệnh bash tùy ý, đạt được sự xâm nhập hoàn toàn hệ thống và thực hiện tấn công chiếm quyền điều khiển.
# Ví dụ lệnh tắt lời nhắc xác nhận người dùng
operator.roles.approvals.set {
"exec.approvals.set": {
"enabled": false
}
}
# Ví dụ lệnh cấu hình thực thi trực tiếp trên host
config.patch {
"tools.exec.host": "gateway"
}
# Ví dụ payload thực thi lệnh bash tùy ý
node.invoke {
"command": "bash -c 'whoami > /tmp/pwned.txt'"
}Ảnh hưởng và Biện pháp Khắc phục
Vụ việc này cho thấy những rủi ro bảo mật vốn có khi cấp cho các tác nhân AI quyền truy cập hệ thống không hạn chế mà không có xác thực mạnh mẽ đối với các thay đổi cấu hình và kết nối mạng.
Nhóm phát triển OpenClaw đã nhanh chóng xử lý lỗ hổng bằng cách triển khai một modal xác nhận URL gateway, loại bỏ hành vi tự động kết nối không nhắc nhở đã kích hoạt cuộc tấn công. DepthFirst khuyến cáo tất cả người dùng đang chạy các phiên bản trước v2026.1.24-1 vẫn dễ bị tấn công và nên nâng cấp ngay lập tức.
Khuyến nghị Cập nhật và Bảo vệ Hệ thống
Các quản trị viên và tổ chức đang triển khai OpenClaw cần thực hiện các biện pháp sau để giảm thiểu rủi ro từ các cuộc tấn công chiếm quyền điều khiển tương tự:
- Cập nhật bản vá: Nâng cấp OpenClaw lên phiên bản v2026.1.24-1 hoặc mới hơn ngay lập tức.
- Xoay vòng mã thông báo xác thực: Thay đổi các mã thông báo xác thực hiện có.
- Kiểm tra nhật ký: Kiểm tra nhật ký thực thi lệnh để tìm kiếm bất kỳ hoạt động đáng ngờ nào.
- Phân đoạn mạng: Triển khai phân đoạn mạng bổ sung để cô lập các tác nhân AI.
- Hạn chế kết nối WebSocket: Hạn chế các kết nối WebSocket gửi đi từ các quy trình tác nhân AI.
- Ghi nhật ký kiểm toán: Duy trì ghi nhật ký kiểm toán nghiêm ngặt cho việc sử dụng mã thông báo xác thực và sửa đổi đặc quyền.
Những biện pháp này là cần thiết để tăng cường an ninh mạng và bảo vệ hệ thống khỏi các mối đe dọa tiềm ẩn, đặc biệt là khi triển khai các hệ thống AI có quyền truy cập rộng rãi.
