Một cảnh báo an ninh nghiêm trọng đã xuất hiện trong hệ sinh thái AI của OpenClaw. Công ty bảo mật blockchain SlowMist đã phát hiện một cuộc tấn công chuỗi cung ứng quy mô lớn bên trong ClawHub, một chợ plugin của nền tảng này. Vấn đề được phát hiện sau khi Koi Security quét 2.857 kỹ năng và gắn cờ 341 trong số đó là độc hại.
SlowMist báo cáo về tình trạng đầu độc chuỗi cung ứng tại trung tâm plugin ClawHub của OpenClaw. Các khâu kiểm duyệt yếu kém đã cho phép nhiều kỹ năng độc hại xâm nhập và phát tán mã độc. Koi Security đã quét 2.857 kỹ năng, xác định được 341 kỹ năng độc hại. SlowMist đã phân tích hơn 400 IOC (Chỉ báo xâm nhập), tiết lộ các cuộc tấn công hàng loạt có tổ chức… pic.twitter.com/5Kwho8aXMQ
— Wu Blockchain (@WuBlockchain) ngày 9 tháng 2 năm 2026
Điều đó có nghĩa là khoảng 12% các plugin được quét chứa mã độc hại. Phát hiện này làm dấy lên lo ngại vì OpenClaw đã phát triển nhanh chóng trong những tháng gần đây. Các công cụ agent mã nguồn mở của nó đã thu hút nhiều nhà phát triển. Điều này cũng khiến nền tảng này trở thành mục tiêu lớn hơn cho tin tặc.
Những đánh giá yếu kém tạo điều kiện cho các thủ đoạn xấu xâm nhập.
Cuộc tấn công thành công là do khâu kiểm duyệt lỏng lẻo tại cửa hàng plugin. Tin tặc đã tải lên các kỹ năng trông có vẻ bình thường ở bề ngoài. Tuy nhiên, mã bên trong chúng chứa các chỉ thị ẩn. SlowMist cho biết nhiều kỹ năng này sử dụng tấn công hai giai đoạn. Đầu tiên, plugin chứa các lệnh bị che giấu. Chúng thường xuất hiện dưới dạng các bước thiết lập hoặc phụ thuộc thông thường. Nhưng các lệnh này bí mật giải mã các tập lệnh ẩn.
Tiếp theo, giai đoạn thứ hai tải xuống phần mềm độc hại thực sự. Mã độc này lấy dữ liệu từ các tên miền hoặc địa chỉ IP cố định. Sau đó, nó thực thi phần mềm độc hại trên hệ thống của nạn nhân. Một ví dụ là kỹ năng có tên “X (Twitter) Trends”. Nó trông có vẻ vô hại và hữu ích. Tuy nhiên, nó lại ẩn chứa một cửa hậu được mã hóa Base64. Mã độc này có thể đánh cắp mật khẩu, thu thập tập tin và gửi chúng đến máy chủ từ xa.
Phát hiện hàng trăm plugin độc hại.
Quy mô của cuộc tấn công đã khiến nhiều nhà phân tích bất ngờ. Trong số 2.857 kỹ năng được quét, 341 kỹ năng cho thấy hành vi độc hại. Koi Security đã liên kết hầu hết chúng với một chiến dịch quy mô lớn. SlowMist cũng đã phân tích hơn 400 dấu hiệu xâm phạm. Dữ liệu cho thấy các hoạt động tải lên hàng loạt có tổ chức. Nhiều plugin sử dụng cùng một tên miền và cơ sở hạ tầng.
Rủi ro đối với người dùng sử dụng các kỹ năng này rất nghiêm trọng. Một số plugin yêu cầu quyền truy cập shell hoặc quyền truy cập tệp. Điều đó tạo cơ hội cho phần mềm độc hại đánh cắp thông tin đăng nhập, tài liệu và khóa API. Một số kỹ năng giả mạo thậm chí còn bắt chước các công cụ mã hóa, tiện ích YouTube hoặc trình hỗ trợ tự động hóa. Những cái tên quen thuộc này khiến chúng dễ dàng được cài đặt mà không gây nghi ngờ.
Các công ty an ninh kêu gọi thận trọng
Các nhà nghiên cứu bảo mật đã bắt đầu các nỗ lực dọn dẹp. SlowMist đã báo cáo hàng trăm mục đáng ngờ trong các lần quét ban đầu. Trong khi đó, Koi Security đã phát hành một công cụ quét miễn phí cho các kỹ năng OpenClaw. Các chuyên gia hiện cảnh báo người dùng nên tránh chạy các lệnh plugin một cách mù quáng. Nhiều cuộc tấn công bắt đầu từ các bước thiết lập đơn giản bên trong các tệp kỹ năng. Người dùng cũng nên tránh các kỹ năng yêu cầu mật khẩu hoặc quyền truy cập hệ thống rộng.
Các nhà phát triển cũng được khuyến khích kiểm tra các plugin trong môi trường biệt lập. Quét độc lập và các nguồn chính thức nên là tuyến phòng thủ đầu tiên. Sự cố này cho thấy những rủi ro bên trong các hệ sinh thái AI đang phát triển nhanh chóng. Các chợ plugin thường hoạt động nhanh, nhưng việc kiểm tra bảo mật có thể chậm hơn. Khi các tác nhân AI ngày càng mạnh mẽ hơn, các nền tảng này sẽ cần các hệ thống đánh giá mạnh mẽ hơn. Cho đến lúc đó, người dùng có thể cần phải coi mọi plugin như một mối đe dọa tiềm tàng.
