An ninh mạng

Cảnh báo bảo mật: OpenClaw AI Agent bị tấn công qua các lệnh ẩn và kỹ thuật phishing

Các nhà nghiên cứu bảo mật vừa phát hiện lỗ hổng nghiêm trọng trên OpenClaw, cho phép kẻ tấn công thực thi mã độc và đánh cắp dữ liệu nhạy cảm thông qua các kỹ thuật thao túng AI...

Nguyen Hung
12 Tháng 6, 2026 3 Min Read
4 0

Nền tảng AI agent tự lưu trữ (self-hosted) OpenClaw đang đối mặt với những thách thức bảo mật nghiêm trọng. Hai nhóm nghiên cứu độc lập từ Imperva và Varonis vừa công bố các phát hiện cho thấy kẻ tấn công có thể dễ dàng điều khiển agent thực thi mã độc hoặc rò rỉ dữ liệu thông qua các đầu vào trông có vẻ bình thường.

Table Of Content

Kỹ thuật ẩn lệnh trong danh bạ và vCard

Nhóm nghiên cứu tại Imperva phát hiện rằng OpenClaw xử lý dữ liệu tin nhắn bằng cách “làm phẳng” (flatten) các đối tượng như danh bạ, vCard hoặc vị trí chia sẻ trực tiếp vào prompt mà không có ranh giới phân tách giữa dữ liệu tin cậy và không tin cậy. Kẻ tấn công có thể chèn các lệnh độc hại vào trường tên (name field) của danh bạ. Do các ký tự này thường bị ẩn trên giao diện người dùng, nạn nhân hoàn toàn không hay biết về payload đang được gửi tới AI.

Trong các thử nghiệm, các lệnh ẩn này đã đánh lừa AI agent (như Gemini 3.1 Pro) tự động tải và thực thi script từ server của kẻ tấn công. Phiên bản OpenClaw 2026.4.23 đã được phát hành để khắc phục vấn đề này bằng cách tách biệt metadata ra khỏi nội dung prompt chính.

Rủi ro từ kỹ thuật “Agent Phishing”

Trong khi đó, Varonis tập trung vào khía cạnh xã hội (social engineering). Họ xây dựng một agent thử nghiệm có tên “Pinchy” và giả lập các kịch bản phishing qua email. Kết quả cho thấy, ngay cả khi được thiết lập các quy tắc bảo mật nghiêm ngặt, agent vẫn bị đánh lừa bởi các yêu cầu có vẻ khẩn cấp hoặc mang tính công việc thường nhật. Kẻ tấn công đã thành công trong việc yêu cầu agent gửi các thông tin nhạy cảm như AWS IAM keys, chuỗi kết nối cơ sở dữ liệu và dữ liệu khách hàng ra bên ngoài.

Varonis nhấn mạnh rằng đây không chỉ là lỗi prompt injection thông thường, mà là sự thiếu hụt khả năng phán đoán xã hội của AI. Agent thường quá tin tưởng vào các yêu cầu đến từ kênh liên lạc thông thường mà bỏ qua việc xác thực người gửi.

Lời khuyên cho người dùng và doanh nghiệp

Ngoài các bản vá cho lỗ hổng kỹ thuật, các chuyên gia khuyến nghị người dùng cần áp dụng các biện pháp kiểm soát kiến trúc chặt chẽ hơn:

  • Cập nhật ngay: Đảm bảo hệ thống đang chạy OpenClaw phiên bản 2026.4.23 trở lên.
  • Kiểm soát đầu ra: Thiết lập cơ chế phê duyệt cho các hành động gửi email lần đầu hoặc gửi dữ liệu ra các địa chỉ lạ.
  • Phân quyền truy cập: Hạn chế phạm vi truy cập của agent dựa trên mức độ tin cậy của nguồn kích hoạt tác vụ.
  • Xác nhận thủ công: Đối với các hành động rủi ro cao như chuyển tiền hoặc chia sẻ thông tin xác thực, cần yêu cầu sự phê duyệt từ con người.

Các chuyên gia cảnh báo rằng, chừng nào AI agent còn được thiết kế với xu hướng “muốn giúp đỡ” và tin tưởng vào đầu vào, chúng vẫn sẽ là mục tiêu hấp dẫn cho các cuộc tấn công khai thác ranh giới tin cậy.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept