Phát hiện chuỗi tấn công từ WhatsApp khai thác lỗ hổng trong trợ lý AI OpenClaw
Các nhà nghiên cứu vừa công bố chi tiết về ba lỗ hổng bảo mật nghiêm trọng trong trợ lý AI OpenClaw, cho phép kẻ tấn công thực thi mã từ xa thông qua các tin nhắn...
Ba lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong trợ lý AI cá nhân OpenClaw, tạo điều kiện cho kẻ tấn công thực hiện các hành vi nguy hiểm như đánh cắp thông tin xác thực, leo thang đặc quyền và thực thi mã tùy ý trên máy chủ (host). Các lỗ hổng này đã được nhà phát triển khắc phục trong phiên bản 2026.6.6.
Table Of Content
Chi tiết các lỗ hổng
Theo báo cáo, ba lỗ hổng bao gồm:
- GHSA-hjr6-g723-hmfm (CVSS 8.8): Lỗ hổng tiêm lệnh hệ điều hành (OS command injection) do cơ chế lọc đầu vào không hoàn thiện, cho phép thực thi các tác vụ vượt quá quyền hạn của người dùng.
- GHSA-9969-8g9h-rxwm (CVSS 8.8): Tương tự lỗ hổng trên, ảnh hưởng đến cơ chế lọc môi trường thực thi trên host.
- GHSA-575v-8hfq-m3mc (CVSS 8.4): Lỗ hổng duyệt đường dẫn (path traversal) và theo dõi liên kết, cho phép bypass các kiểm tra danh sách chặn (denylist) của thư mục cha.
Nguy cơ tấn công từ WhatsApp
Nhà nghiên cứu bảo mật Chinmohan Nayak, người phát hiện ra các vấn đề này, cho biết chuỗi tấn công có thể được kích hoạt từ một tin nhắn bên ngoài gửi qua WhatsApp. Khác với các lỗ hổng trước đây, chuỗi tấn công này không yêu cầu kẻ tấn công phải có sẵn quyền truy cập ban đầu (foothold) vào hệ thống.
Đặc biệt, lỗ hổng GHSA-575v-8hfq-m3mc cho phép kẻ tấn công vượt qua các hạn chế bảo mật bằng cách mount các thư mục nhạy cảm. Nayak giải thích: “Nếu mount thư mục /home vào container, kẻ tấn công có thể đọc toàn bộ SSH keys, AWS credentials và GPG secrets của người dùng. Nếu mount /var, kẻ tấn công có thể truy cập Docker socket, dẫn đến việc thoát khỏi sandbox và chiếm quyền điều khiển toàn bộ host.”
Khuyến nghị bảo mật
Để bảo vệ hệ thống, người dùng và quản trị viên cần thực hiện các biện pháp sau:
- Cập nhật OpenClaw lên phiên bản mới nhất (2026.6.6).
- Kích hoạt chế độ sandbox cho tất cả các phiên làm việc không chính.
- Loại bỏ quyền “exec” khỏi danh sách cho phép (allowlist) của các agent tương tác qua kênh chat.
- Giám sát chặt chẽ các lệnh
git clonechứa giao thứcext::, vì đây là phương thức có thể bị lạm dụng để chạy các lệnh hệ thống tùy ý. - Hạn chế chia sẻ một Gateway giữa các người dùng không tin tưởng lẫn nhau.
Nguồn tham khảo: The Hacker News


No Comment! Be the first one.