Cơn Bão Bảo Mật Tháng Hai: Khai Thác Zero-Click, Tấn Công Chuỗi Cung Ứng, và Cách OpenClaw Phản Ứng

Một Tuần Thay Đổi Tất Cả

Từ ngày 24 tháng 2 đến ngày 2 tháng 3 năm 2026, OpenClaw đối mặt với một chuỗi sự cố bảo mật liên tiếp thử thách khả năng chống chịu của dự án, niềm tin của cộng đồng, và khả năng phản ứng dưới áp lực. Bài viết này là bản tường trình đầy đủ về những gì đã xảy ra, cách đội ngũ phản ứng, và những gì đã thay đổi.

Sự Cố 1: Chiếm Quyền WebSocket Zero-Click (CVE-2026-25253)

Chuyện Gì Đã Xảy Ra

Vào ngày 26 tháng 2, các nhà nghiên cứu bảo mật đã tiết lộ một lỗ hổng nghiêm trọng không cần tương tác: bất kỳ trang web độc hại nào cũng có thể âm thầm chiếm toàn quyền kiểm soát tác tử OpenClaw của người dùng mà không cần bất kỳ hành động nào từ người dùng — không cần nhấp chuột, không cần plugin, không cần extension.

Cách Thức Hoạt Động

1. 1.Người dùng truy cập trang web chứa JavaScript độc hại
2. 2.Script mở kết nối WebSocket đến cổng OpenClaw trên localhost
3. 3.Script brute-force mật khẩu cổng với hàng trăm lần thử mỗi giây
4. 4.Bộ giới hạn tốc độ của cổng hoàn toàn miễn trừ các kết nối localhost — các lần thử thất bại không được đếm, điều tiết, hay ghi nhật ký
5. 5.Sau khi xác thực, script âm thầm đăng ký như một thiết bị đáng tin cậy
6. 6.Kẻ tấn công chiếm toàn quyền kiểm soát: đọc tin nhắn, thực thi lệnh, truy cập tệp, trích xuất API keys

Phản Ứng

Đội bảo mật OpenClaw phân loại đây là mức độ nghiêm trọng cao (CVSS 8.8) và phát hành bản vá trong phiên bản 2026.2.25 trong vòng 24 giờ sau khi tiết lộ. Bản sửa:

• •Xóa bỏ miễn trừ localhost khỏi giới hạn tốc độ
• •Thêm kiểm tra origin WebSocket
• •Giới thiệu ghi nhật ký lần thử kết nối cho tất cả nguồn
• •Yêu cầu xác thực lại cho đăng ký thiết bị mới

Tác Động

Không có bằng chứng xác nhận về việc khai thác trong thực tế trước khi tiết lộ, nhưng cửa sổ lỗ hổng khoảng 6 tuần (kể từ khi miễn trừ localhost được đưa vào v2026.1.12).

Sự Cố 2: Khủng Hoảng Chuỗi Cung Ứng ClawHub

Chuyện Gì Đã Xảy Ra

Song song với lỗ hổng WebSocket, các nhà nghiên cứu bảo mật từ nhiều công ty đã công bố phát hiện cho thấy khoảng 20% tất cả skill được liệt kê trên ClawHub — 341 trên tổng số khoảng 1.700 — là độc hại hoặc chứa hành vi đáng ngờ.

Các Skill Độc Hại Làm Gì

• •Trích xuất dữ liệu: Âm thầm tải lên biến môi trường, API keys, và nhật ký hội thoại đến máy chủ bên ngoài
• •Thu thập thông tin xác thực: Bắt token xác thực cho các dịch vụ đã kết nối (Slack, Discord, Gmail)
• •Cài đặt backdoor: Thiết lập reverse shell liên tục trên hệ thống chủ
• •Prompt injection: Thao túng hành vi của tác tử phục vụ mục đích của kẻ tấn công trong khi vẫn trông bình thường với người dùng

Phản Ứng

OpenClaw đã tích hợp quét VirusTotal vào quy trình gửi bài ClawHub. Mỗi skill mới và mỗi bản cập nhật skill bây giờ được:

1. 1.Quét bởi phân tích đa engine của VirusTotal
2. 2.Phân tích mã tĩnh cho các mẫu độc hại đã biết
3. 3.Đánh giá bởi người kiểm duyệt trước khi công bố (đối với skill yêu cầu quyền nâng cao)
4. 4.Gắn điểm tin cậy hiển thị cho người dùng trước khi cài đặt

Ngoài ra, tất cả 341 skill độc hại đã xác định đã bị xóa, nhà phát hành bị cấm, và người dùng bị ảnh hưởng được thông báo.

Sự Cố 3: Phần Mềm Đánh Cắp Thông Tin Từ Tệp Cấu Hình

Chuyện Gì Đã Xảy Ra

Một chiến dịch riêng biệt nhắm vào người dùng OpenClaw thông qua kỹ thuật xã hội: các "hướng dẫn tối ưu hóa" và "công cụ tăng hiệu suất" giả mạo được phân phối qua GitHub, Reddit, và các diễn đàn lập trình viên Trung Quốc chứa phần mềm đánh cắp thông tin nhắm cụ thể vào:

- Tệp cấu hình OpenClaw (.clawrc)