Báo động đỏ về OpenClaw: Khi trợ lý ảo trở thành cơn ác mộng an ninh mạng

OpenClaw đang được khá nhiều người dùng. Ảnh: Forbes.

Theo Bloomberg, Chris Boyd, một kỹ sư phần mềm tại bang Bắc Carolina (Mỹ), đã trải nghiệm trực tiếp mặt trái của công nghệ này. Ban đầu, anh sử dụng OpenClaw để tóm tắt tin tức và gửi qua email mỗi sáng. Tuy nhiên, sau khi anh cấp quyền truy cập iMessage cho phần mềm, OpenClaw đã hoạt động mất kiểm soát. Nó tự động gửi dồn dập hơn 500 tin nhắn cho Boyd, vợ anh và spam hàng loạt các liên lạc ngẫu nhiên khác.

Trường hợp của Boyd không phải là cá biệt, mà là minh chứng cho nhận định của các chuyên gia: OpenClaw là một phần mềm "thô sơ, chưa hoàn thiện" và tiềm ẩn những rủi ro mà người dùng chưa lường hết được.

OpenClaw được thiết kế để chạy cục bộ trên thiết bị, có khả năng quản lý lịch, đặt chỗ, và dọn dẹp email... Tuy nhiên, Kasimir Schulz, giám đốc nghiên cứu tại HiddenLayer Inc., cảnh báo rằng OpenClaw hội tụ đủ ba yếu tố rủi ro nghiêm trọng nhất trong tiêu chuẩn đánh giá rủi ro AI. Đó là quyền truy cập dữ liệu riêng tư, khả năng giao tiếp ra bên ngoài và có khả năng để lộ thông tin khi tiếp xúc với những nội dung không đáng tin cậy.

Một rủi ro nữa của OpenClaw đã được Yue Xiao - giáo sư tại Đại học William & Mary - chỉ ra là tin tặc có thể dễ dàng thực hiện "chèn lệnh giả mạo" (prompt injection), ngụy trang các lệnh độc hại thành lệnh hợp lệ để đánh cắp dữ liệu.

Kho ứng dụng hay "ổ chứa" mã độc?

Nguy cơ không chỉ đến từ mã nguồn chính mà còn đến từ hệ sinh thái mở rộng của OpenClaw. Jason Meller, Phó Chủ tịch sản phẩm của 1Password, coi trung tâm tiện ích (tiện ích bổ sung) của OpenClaw là một mảnh đất mã độc màu mỡ.

Tờ The Verge (Mỹ) dẫn dữ liệu từ nền tảng OpenSourceMalware cho biết, hàng trăm tiện ích bổ sung độc hại đã được tải lên kho ứng dụng ClawHub chỉ trong vài ngày cuối tháng 1 và đầu tháng 2. Cụ thể, 28 kỹ năng độc hại được phát hiện từ 27-29/1 và 386 tiện ích độc hại được tải lên từ 31/1 đến 2/2.

OpenSourceMalware cho biết các kỹ năng này "ngụy trang thành các công cụ tự động hóa giao dịch tiền điện tử và phát tán phần mềm độc hại đánh cắp thông tin" và thao túng người dùng cài đặt mã độc hại "đánh cắp các tài sản tiền điện tử như khóa API sàn giao dịch, khóa riêng tư ví, mật khẩu trình duyệt...".

OpenClaw đang thu hút sự chú ý của nhiều người dùng, với hơn 100.000 lượt đánh dấu sao trên GitHub. Nền tảng này cũng ngày càng trở nên phổ biến trong giới đam mê công nghệ Trung Quốc, trong khi các nhà cung cấp dịch vụ đám mây đang gấp rút cung cấp các giải pháp lưu trữ cho nền tảng đang phát triển nhanh chóng này.

Mặc dù vậy, theo Reuters, mới đây, Bộ Công nghiệp và Công nghệ Thông tin Trung Quốc đã phát đi cảnh báo về rủi ro an ninh nghiêm trọng nếu OpenClaw không được cấu hình đúng cách, dẫn đến nguy cơ tấn công mạng và rò rỉ dữ liệu.

Peter Steinberger, người sáng lập OpenClaw, thừa nhận dự án vẫn trong giai đoạn phát triển, chủ yếu dành cho “những người am hiểu công nghệ”. Ông cho rằng lỗ hổng chủ yếu do người dùng không đọc kỹ hướng dẫn và khẳng định dự án không "phát hành quá sớm" vì bản chất của nó là mã nguồn mở. Để đối phó với mã độc, ClawHub hiện yêu cầu tài khoản GitHub phải hoạt động ít nhất một tuần mới được đăng tải kỹ năng.

Tuy nhiên, giới chuyên gia không đồng tình. Justin Cappos, giáo sư tại Đại học New York, ví việc cho phép các tác nhân AI mới truy cập hệ thống giống như "đưa dao mổ cho một đứa trẻ mới biết đi". Michael Freeman từ công ty an ninh mạng Armis nhận định OpenClaw được "xây dựng vội vàng mà không hề có sự tính toán kỹ lưỡng về bảo mật", đồng thời tiết lộ khách hàng của họ đã bị tấn công thông qua công cụ này.

Trong bối cảnh cuộc đua AI đang diễn ra khốc liệt, OpenClaw là lời cảnh báo rõ ràng rằng sự tiện lợi của tự động hóa có thể phải đánh đổi bằng an toàn dữ liệu nếu thiếu kiểm soát.