arrow_back Quay lại Blog
security regulation china korea cve foundation

Chính phủ đang theo dõi: các quốc gia phản ứng thế nào với rủi ro bảo mật OpenClaw

OpenClaws.io Team

OpenClaws.io Team

@openclaws

February 23, 2026

9 phút đọc

Chính phủ đang theo dõi: các quốc gia phản ứng thế nào với rủi ro bảo mật OpenClaw

Sự tăng trưởng của OpenClaw thật phi thường. Nhưng với 180.000 sao GitHub và triển khai tại 82 quốc gia đi kèm một thực tế không mấy dễ chịu: dự án đã trở thành mục tiêu. Và các chính phủ bắt đầu chú ý.

Bài viết này bao quát bức tranh an ninh tính đến tháng 2 năm 2026 — các lỗ hổng được phát hiện, phản ứng của chính phủ, lệnh cấm doanh nghiệp, và ý nghĩa của cấu trúc quỹ mới đối với quản trị bảo mật trong tương lai.

Lỗ hổng thay đổi cục diện

Đầu tháng 2 năm 2026, các nhà nghiên cứu công bố CVE-2026-25253 — lỗ hổng thực thi mã từ xa nghiêm trọng chỉ với một cú nhấp, điểm CVSS 8.8 (Cao).

Lỗi nằm trong Control UI của OpenClaw. Giao diện tự động tin tưởng mọi URL gateway được truyền dưới dạng tham số truy vấn và mở kết nối WebSocket chứa token xác thực đã lưu của người dùng. Kẻ tấn công có thể tạo một liên kết độc hại mà khi người dùng đã đăng nhập nhấp vào sẽ:

  1. 1.Chuyển hướng Control UI đến gateway do kẻ tấn công kiểm soát
  2. 2.Đánh cắp token xác thực qua quá trình bắt tay WebSocket
  3. 3.Sử dụng token bị đánh cắp để thực thi lệnh tùy ý trên instance OpenClaw của nạn nhân

Rào cản khai thác rất thấp. Không cần công cụ đặc biệt — chỉ cần một URL được tạo sẵn gửi qua email, chat hoặc mạng xã hội. Bản vá được phát hành trong v2026.1.29 vào ngày 30 tháng 1 năm 2026. Không có trường hợp khai thác nào được xác nhận ngoài thực tế, nhưng sự đơn giản của vector tấn công đã gióng lên hồi chuông cảnh báo.

Con số: 42.900 phiên bản bị lộ

Đội STRIKE của SecurityScorecard tiến hành quét toàn cầu và phát hiện 42.900 instance OpenClaw bị lộ ra internet công cộng tại 82 quốc gia. Trong đó, 15.200 dễ bị thực thi mã từ xa — nghĩa là chưa được vá hoặc đang chạy với cấu hình mặc định.

Để hình dung: 15.200 máy tính mà bất kỳ ai trên internet đều có thể chiếm quyền điều khiển chỉ với một yêu cầu HTTP duy nhất.

Riêng biệt, các nhà nghiên cứu tại Giskard đã chứng minh rò rỉ dữ liệu và lỗ hổng prompt injection trong các instance đã triển khai. Họ cho thấy một prompt được thiết kế cẩn thận có thể trích xuất khóa API riêng tư, biến môi trường và các bí mật khác từ agent OpenClaw đang chạy. Trong các bài kiểm tra, khóa riêng tư được trích xuất trong chưa đầy năm phút.

Có lẽ đáng lo ngại nhất: 93% instance bị lộ công khai có lỗ hổng nghiêm trọng cho phép bỏ qua xác thực. Cấu hình mặc định, hóa ra, không đủ an toàn cho việc lộ ra công khai — điều mà tài liệu giờ đây cảnh báo rõ ràng.

Vấn đề skill độc hại

Đội nghiên cứu của Bitdefender phân tích ClawHub — kho skill công khai của OpenClaw — và phát hiện khoảng 900 skill độc hại trên tổng số khoảng 4.500 — chiếm khoảng 20% tất cả các gói đã xuất bản.

Các skill độc hại này bao gồm từ công cụ đánh cắp thông tin đăng nhập ngụy trang thành tiện ích hữu ích đến backdoor cho phép kẻ tấn công truy cập liên tục vào máy chủ. Một số đủ tinh vi để vượt qua kiểm tra code thông thường, sử dụng payload bị làm rối chỉ kích hoạt sau khi cài đặt.

Điều này lặp lại các vấn đề đã thấy ở npm, PyPI và các kho gói khác, nhưng với mức độ rủi ro cao hơn: skill OpenClaw thường chạy với quyền cấp hệ thống và có quyền truy cập vào tài khoản nhắn tin, khóa API và dữ liệu cá nhân.

Phản ứng của Trung Quốc: Cảnh báo MIIT

Bộ Công nghiệp và Công nghệ Thông tin Trung Quốc (MIIT) đã ban hành khuyến cáo bảo mật riêng về OpenClaw, cảnh báo các doanh nghiệp kiểm tra mức độ lộ diện của instance trên mạng công cộng. Khuyến cáo không đi đến mức cấm hoàn toàn nhưng đề xuất:

  • Kiểm toán tất cả các triển khai OpenClaw về mức độ lộ công khai
  • Triển khai phân đoạn mạng để cô lập instance OpenClaw
  • Kiểm tra skill đã cài đặt để phát hiện gói độc hại đã biết
  • Cập nhật lên phiên bản vá lỗi mới nhất

Điều đáng chú ý là Trung Quốc đồng thời đón nhận OpenClaw ở cấp nền tảng — Alibaba Cloud, Tencent Cloud, Volcano Engine và Baidu đều đã ra mắt dịch vụ hosting OpenClaw. Cảnh báo của MIIT cho thấy chính phủ nhìn thấy cả cơ hội lẫn rủi ro.

Phản ứng của Hàn Quốc: Cấm doanh nghiệp

Hàn Quốc có lập trường mạnh mẽ hơn. Nhiều tập đoàn công nghệ lớn ban hành lệnh cấm nội bộ:

  • Kakao công bố hạn chế sử dụng OpenClaw trên thiết bị công việc để bảo vệ tài sản thông tin
  • Naver ban hành lệnh cấm nội bộ hoàn toàn đối với OpenClaw
  • Karrot (당근마켓) chặn hoàn toàn quyền truy cập OpenClaw

Phản ứng của Hàn Quốc xuất phát từ lo ngại về rò rỉ dữ liệu — cụ thể là rủi ro agent AI có quyền truy cập hệ thống doanh nghiệp có thể rò rỉ thông tin nhạy cảm qua các tích hợp nhắn tin. Khi trợ lý AI của bạn có thể đọc Slack, email và lịch, rồi chuyển tiếp thông tin qua WhatsApp hoặc Telegram, bề mặt tấn công cho gián điệp doanh nghiệp mở rộng đáng kể.

Chuyển đổi sang quỹ có ý nghĩa gì cho bảo mật

Ngày 14 tháng 2 năm 2026, nhà sáng lập OpenClaw Peter Steinberger công bố gia nhập OpenAI, và dự án sẽ chuyển sang quỹ độc lập 501(c)(3) với sự hỗ trợ của OpenAI.

Đối với bảo mật, điều này mang đến cả hy vọng lẫn câu hỏi:

Kịch bản lạc quan: Cấu trúc quỹ với hậu thuẫn doanh nghiệp có thể tài trợ kỹ sư bảo mật chuyên trách, thành lập đội phản ứng bảo mật chính thức, triển khai quy trình đánh giá skill bắt buộc cho ClawHub và tiến hành kiểm toán bảo mật định kỳ. Đây là những điều mà một người bảo trì đơn lẻ hay cộng đồng tình nguyện khó duy trì được.

Kịch bản thận trọng: Sự tham gia của OpenAI tạo ra xung đột lợi ích tiềm tàng. Liệu các quyết định bảo mật có được đưa ra thuần túy dựa trên cơ sở kỹ thuật, hay các cân nhắc thương mại sẽ ảnh hưởng đến nội dung và thời điểm công bố? Tính độc lập của quỹ sẽ được thử thách lần đầu khi một lỗ hổng nghiêm trọng ảnh hưởng đến lợi ích của chính OpenAI.

  • Đội ngũ bảo mật toàn thời gian được tài trợ với chính sách công bố công khai
  • Ký mã và đánh giá bắt buộc cho skill ClawHub
  • Quét lỗ hổng tự động trong pipeline CI/CD
  • Chương trình bug bounty với phần thưởng xứng đáng
  • Kiểm toán bảo mật định kỳ bởi bên thứ ba với kết quả được công bố

Người dùng nên làm gì ngay bây giờ

Nếu bạn đang chạy OpenClaw, các bước cần làm ngay rất rõ ràng:

  1. 1.**Cập nhật**: Đảm bảo bạn đang dùng v2026.2.21 trở lên
  2. 2.**Không lộ ra internet công cộng**: Sử dụng VPN hoặc SSH tunnel cho truy cập từ xa
  3. 3.**Kiểm toán skill**: Kiểm tra mọi skill đã cài đặt, đặc biệt từ tác giả không rõ nguồn gốc
  4. 4.**Bật xác thực**: Không chạy với thông tin đăng nhập mặc định
  5. 5.**Giám sát log truy cập**: Theo dõi các mẫu kết nối bất thường
  6. 6.**Phân đoạn mạng**: Cô lập instance OpenClaw khỏi các hệ thống nhạy cảm

Bức tranh lớn hơn

Thách thức bảo mật của OpenClaw không phải là duy nhất — đây là những cơn đau tăng trưởng tất yếu của bất kỳ dự án mã nguồn mở nào chuyển từ dự án cuối tuần sang hạ tầng quan trọng trong ba tháng. npm từng có gói độc hại. Docker Hub từng có cryptominer. PyPI từng có tấn công typosquatting.

Điều khác biệt ở đây là mức độ rủi ro. Agent OpenClaw có quyền truy cập vào tài khoản nhắn tin, email, lịch, thiết bị nhà thông minh và có thể cả hệ thống doanh nghiệp. Một instance OpenClaw bị xâm phạm không chỉ là một máy chủ bị hack — mà là toàn bộ đời sống số bị xâm phạm.

Chuyển đổi sang quỹ là cơ hội tốt nhất để dự án xây dựng hạ tầng bảo mật cần thiết. Liệu tiềm năng đó có được hiện thực hóa hay không phụ thuộc vào việc cấu trúc quản trị mới coi trọng bảo mật như ưu tiên hàng đầu, chứ không phải là suy nghĩ muộn màng.

Chúng tôi sẽ tiếp tục theo dõi lĩnh vực này và đưa tin về các diễn biến khi chúng xảy ra.

arrow_back

Bài trước

Vượt xa OpenAI: LLM Trung Quốc đang vận hành agent OpenClaw như thế nào

Bài sau

Hệ sinh thái Apple: OpenClaw trên iOS, macOS và hơn thế nữa

arrow_forward
Chia sẻ trên: share code
star Star on GitHub

Theo dõi tin mới

Nhận thông báo về tính năng mới và tích hợp. Không spam, hủy đăng ký bất cứ lúc nào.