Ngôn ngữ:
Tiếng Việt
English
Tìm kiếm
Ngôn ngữ:
Tiếng Việt
English
GIỚI THIỆU
TIN TỨC - SỰ KIỆN
THÔNG TIN CHUYÊN ĐỀ
Phổ biến giáo dục pháp luật
Cải cách Hành Chính
Liên hệ
Thống kê
RSS
Tìm kiếm
/ Phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số
/ Các nguy cơ bảo mật nghiêm trọng phát sinh từ nền tảng AI Agent OpenClaw và biện pháp phòng ngừa

Các nguy cơ bảo mật nghiêm trọng phát sinh từ nền tảng AI Agent OpenClaw và biện pháp phòng ngừa

23/05/2026
3 Lượt xem
Lưu In

Cùng với xu hướng ứng dụng trí tuệ nhân tạo (AI) ngày càng phổ biến trên môi trường số, các nền tảng AI Agent có khả năng tự động thực hiện tác vụ thay người dùng đang phát triển nhanh chóng và thu hút sự quan tâm lớn từ cộng đồng công nghệ. Trong đó, OpenClaw là một nền tảng AI Agent mã nguồn mở nổi bật, cho phép triển khai trợ lý AI chạy trực tiếp trên thiết bị người dùng với khả năng tự động quản lý email, duyệt web, thực thi lệnh hệ thống và kết nối nhiều ứng dụng khác nhau. Hiện nay, nền tảng này đang được đông đảo cá nhân và doanh nghiệp thử nghiệm triển khai nhằm phục vụ nhu cầu tự động hóa công việc.

Rủi ro khi tích hợp OpenClaw trong môi trường số

Tuy nhiên, việc triển khai OpenClaw nếu không được kiểm soát chặt chẽ có thể làm gia tăng nguy cơ mất an toàn thông tin, lộ lọt dữ liệu và bị khai thác xâm nhập hệ thống, đặc biệt đối với cơ quan, tổ chức và doanh nghiệp đang vận hành hạ tầng số nội bộ. Cụ thể:

  • Các chuyên gia an ninh mạng từ Immersive Labs nhận định tốc độ phát triển của OpenClaw hiện đang vượt xa khả năng bảo đảm an toàn bảo mật. Minh chứng rõ ràng là lỗ hổng bảo mật nghiêm trọng CVE-2026-25253 (CVSS 8.8) được các nhà nghiên cứu bảo mật phát hiện và công bố vào cuối tháng 01/2026 cho phép kẻ tấn công xâm nhập từ xa, chiếm quyền điều khiển thiết bị và ra lệnh cho AI Agent thực hiện hành vi đánh cắp thông tin, dữ liệu, ảnh hưởng trực tiếp đến hoạt động của hệ thống thông tin.
  • Theo Microsoft, OpenClaw có nguy cơ bị khai thác thông qua kỹ thuật chèn câu lệnh độc lại (Prompt Injection). Theo đó, khi AI Agent truy cập thư điện tử (email), trang thông tin điện tử (website), tài liệu hoặc các nguồn dữ liệu bên ngoài chứa câu lệnh ẩn do đối tượng xấu cài cắm, hệ thống có thể tự động thực thi như chỉ thị hợp lệ. Nguy cơ này có thể dẫn tới rò rỉ dữ liệu, thay đổi cấu hình hệ thống hoặc thực hiện các hành vi mà nạn nhân không hề hay biết.
  • Theo thống kê của BetterClaw, tháng 4/2026 đã ghi nhận hơn 1.400 tính năng mở rộng độc hại trên chợ ứng dụng chính thức ClawHub, trong đó một số plugin có khả năng mở kết nối ngược (reverse shell), cho phép hacker điều khiển máy tính từ xa, đánh cắp mã khóa SSH (SSH Keys), thông tin xác thực và dữ liệu nhạy cảm làm gia tăng nguy cơ phát tán mã độc theo mô hình "chuỗi cung ứng phần mềm không kiểm soát".
  • Hiện có hơn 40.000 phiên bản hoạt động OpenClaw bị lộ công khai trên Internet. Trong đó, nhiều hệ thống tồn tại lỗi cấu hình, chưa được vá lỗ hổng hoặc không giới hạn truy cập từ bên ngoài. Tình trạng này tiềm ẩn nguy cơ lộ mã API (API key), mất thông tin xác thực (Anthropic API key, Telegram token, Slack OAuth...), bị xâm nhập và chiếm quyền điều khiển từ xa.

Khuyến nghị các biện pháp khi triển khai OpenClaw

Để chủ động phòng ngừa, ngăn chặn và ứng phó với các nguy cơ mất an toàn thông tin phát sinh từ các nền tảng AI Agent thế hệ mới, khuyến cáo các cơ quan, đơn vị, doanh nghiệp và người dân thực hiện một số nội dung sau:

  • Khẩn trương cập nhật OpenClaw lên phiên bản mới nhất do nhà phát triển cung cấp; tuyệt đối không sử dụng các phiên bản cũ hoặc các bản dựng không chính thống. Áp dụng nguyên tắc phân quyền tối thiểu, hạn chế cấp quyền truy cập dữ liệu nhạy cảm và vô hiệu hóa tính năng tự động cài đặt tính năng mở rộng từ kho bên thứ ba và tự động thực thi lệnh nhằm kiểm soát hành vi của agent.
  • Chỉ triển khai OpenClaw trong môi trường máy ảo (VM) hoặc máy riêng biệt; không cài đặt trên máy chính hoặc máy kết nối mạng nội bộ của cơ quan, đơn vị khi chưa được đánh giá, kiểm tra an toàn thông tin bởi bộ phận chuyên trách; đồng thời thiết lập giám sát lưu lượng mạng ra vào của môi trường chạy OpenClaw để phát hiện kịp thời các kết nối bất thường.
  • Không cài đặt các tính năng mở rộng (skills), phần bổ sung (plugin) từ kho ClawHub hoặc nguồn bên thứ ba khi chưa được kiểm tra mã nguồn. Không lưu trữ các thông tin xác thực quan trọng (API key, token OAuth) trực tiếp trong cấu hình OpenClaw; định kỳ xoay vòng và thu hồi các xã xác thực (token) đã cấp cho hệ thống AI.
  • Không kết nối OpenClaw với các hệ thống lưu trữ tài liệu nội bộ, cơ sở dữ liệu nghiệp vụ hoặc tài khoản có quyền truy cập thông tin mật, bí mật Nhà nước. Lưu ý rằng dữ liệu có thể bị đánh cắp trực tiếp từ thiết bị cục bộ thông qua các lỗ hổng của nền tảng mà không cần người dùng chủ động chia sẻ.
  • Thường xuyên cập nhật các cảnh báo an toàn thông tin từ Bộ Khoa học và Công nghệ, VNCERT/CC và các đơn vị chuyên trách an ninh mạng nhằm kịp thời phát hiện, xử lý các nguy cơ tấn công mạng phát sinh từ các nền tảng AI Agent.

Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao

0 (0)

Chia sẻ:

Tìm kiếm
Từ khóa:
Danh mục:
Ngày đăng:
Tìm kiếm
Hộp thư tố giác tội phạm
Đường dây nóng
Khai báo lưu trú
Tra cứu phương tiện vi phạm
Lịch tiếp Công dân
Đăng ký trực tuyến mẫu con dấu
Cơ sở dữ liệu quốc gia về văn bản pháp luật
Bộ pháp điển
Thống kê truy cập

Số người online: 3

Đã truy cập: 494377

CỔNG THÔNG TIN ĐIỆN TỬ CÔNG AN TỈNH KHÁNH HÒA

Địa chỉ: 80 Trần Phú, Nha Trang, Khánh Hòa
Email: ca@khanhhoa.gov.vn
bbt.congankhanhhoa@gmail.com
Điện thoại: (+84).0694.401468
Giấy phép số 08/GP-STTTT, ngày 05/04/2016 của Sở Thông tin và Truyền thông Khánh Hòa.
Chung nhan Tin Nhiem Mang
Tương tác công dân
Đường dây nóng
Tương tác công dân Tương tác công dân

© Bản quyền thuộc về Công An tỉnh Khánh Hòa

Thiết kế và phát triển bởi SweetSoft

server-notice