Vào ngày 9 tháng 2 năm 2026, nhóm bảo mật Slow Mist đã phát hiện 341 kỹ năng độc hại trên trung tâm plugin chính thức của OpenClaw, ClawHub. Những kỹ năng này ngụy trang thành các công cụ quản lý tài sản tiền điện tử, công cụ kiểm tra bảo mật hoặc các tập lệnh tự động hóa, nhưng thực chất lại thực thi các chỉ thị tấn công được thiết kế tỉ mỉ. Một kỹ năng có tên "Crypto Portfolio Optimizer", sau khi giành được sự tin tưởng của người dùng, đã bắt đầu quét thư mục ~/.config của hệ thống cục bộ để tìm các tệp mở rộng MetaMask và các bản sao lưu Cụm từ gọi nhớ . Đây không phải là một sự cố phần mềm độc hại thông thường. Nó đánh dấu sự tiến hóa của các mối đe dọa an ninh mạng sang một giai đoạn mới: những kẻ tấn công không còn chỉ khai thác các lỗ hổng phần mềm mà còn bắt đầu tấn công mối quan hệ tin cậy giữa con người và trí tuệ nhân tạo (AI). Khi hàng triệu người dùng quen với việc đưa ra các chỉ dẫn như "giúp tôi quản lý tài sản tiền điện tử" hoặc "kiểm tra tính bảo mật của giao dịch này" cho các trợ lý AI, một hệ sinh thái AI bị ô nhiễm sẽ trở thành cánh cửa hậu tinh vi nhất để xâm nhập vào thế giới Web3.
Một sự thay đổi cơ bản trong Paradigm tấn công: Từ các lỗ hổng mã nguồn đến "chiếm đoạt ý định"
An ninh mạng truyền thống xoay quanh các lỗ hổng mã nguồn: tràn bộ đệm, tấn công SQL injection, tấn công kịch bản chéo trang (XSS). Những cuộc tấn công này khai thác các lỗi trong quá trình triển khai phần mềm. An ninh của tác nhân AI đối mặt với một mô hình mối đe dọa hoàn toàn khác—tấn công chiếm đoạt ý định.
Người dùng bày tỏ ý định với các tác nhân AI: "Vui lòng phân tích danh mục đầu tư của tôi", "Hãy giúp tôi thực hiện giao dịch trên Uniswap", "Kiểm tra tính bảo mật của hợp đồng thông minh này". Trong một hệ sinh thái lành mạnh, AI sẽ gọi các kỹ năng tương ứng của công cụ để hoàn thành các nhiệm vụ này. Nhưng trong một hệ sinh thái bị ô nhiễm, các kỹ năng độc hại sẽ "chiếm đoạt" ý định này. Về mặt bề ngoài, AI thực sự đang thực hiện thao tác được yêu cầu - tạo báo cáo phân tích đầu tư, thực hiện giao dịch, trả về kết quả kiểm tra bảo mật. Tuy nhiên, đồng thời, nó thực hiện các thao tác mà người dùng chưa bao giờ cho phép trong nền: tải khóa riêng lên máy chủ từ xa, can thiệp vào địa chỉ người nhận giao dịch, chuyển tài sản của người dùng sang ví do kẻ tấn công kiểm soát.
Việc che giấu các cuộc tấn công như vậy bắt nguồn từ bản chất "hộp đen" của tương tác AI. Người dùng khó hiểu được quy trình chi tiết mà AI thực hiện các nhiệm vụ, chỉ thấy kết quả cuối cùng. Khi một kỹ năng phân tích danh mục đầu tư yêu cầu "quyền truy cập tạm thời vào dữ liệu tiện ích mở rộng trình duyệt của bạn để lấy giá theo thời gian thực", hầu hết người dùng sẽ nhấp vào đồng ý mà không biết rằng quyền này đang được sử dụng để đánh cắp thông tin ví. Sự xuất hiện đồng loạt của 341 kỹ năng độc hại chứng minh rằng mô hình tấn công này đã đạt đến mức độ sản xuất công nghiệp hóa, hình thành một hệ thống tấn công " chuỗi cung ứng kỹ năng" hoàn chỉnh.
Phân tích chuỗi tấn công: Cẩm nang 341 kỹ năng độc hại
Các chi tiết về cuộc tấn công do Slow Mist tiết lộ cho thấy một phương pháp tấn công rất tinh vi. Các kỹ năng độc hại thường sử dụng cơ chế tải hai giai đoạn để tránh bị phát hiện: giai đoạn đầu tiên tải xuống tải trọng tấn công giai đoạn thứ hai thông qua các lệnh curl được mã hóa Base64, và giai đoạn thứ hai triển khai một tệp thực thi có tên dyrtvwjfveyxjf23. Thiết kế này làm cho mã của kỹ năng trông có vẻ vô hại, chỉ bộc lộ hành vi độc hại khi được thực thi.
Điều quan trọng hơn cả là khả năng nhắm mục tiêu chính xác của các cuộc tấn công. Những kỹ năng này không phải là phần mềm độc hại được phân phối ngẫu nhiên mà là các cuộc tấn công lừa đảo có chủ đích được thiết kế riêng cho người dùng tiền điện tử. "Kiểm tra tài sản tiền điện tử", "Công cụ tối ưu hóa phí gas ", "Trợ lý Kiểm định hợp đồng thông minh " - mỗi tên kỹ năng đều nhắm chính xác vào nhu cầu cốt lõi của người dùng Web3. Kẻ tấn công hiểu sâu sắc tâm lý của người dùng mục tiêu: người dùng tiền điện tử rất nhạy cảm về bảo mật, do đó dễ bị thu hút bởi các kỹ năng kiểu "kiểm tra bảo mật"; họ theo đuổi hiệu quả, do đó sẽ thử các công cụ "giao dịch tự động"; họ cần quản lý nhiều ví, do đó sẽ sử dụng "công cụ tổng hợp tài sản".
Mục tiêu cuối cùng của các cuộc tấn công cũng cho thấy một lộ trình leo thang rõ ràng. Các cuộc tấn công ban đầu chủ yếu đánh cắp thông tin hệ thống và tài liệu, trong khi các kỹ năng mới được phát hiện đã bắt đầu bao gồm các mô-đun nhắm mục tiêu cụ thể vào tài sản tiền điện tử: quét dữ liệu tiện ích mở rộng MetaMask trong trình duyệt, tìm kiếm các tệp cấu hình của các ứng dụng ví phổ biến, tìm kiếm thư mục kho khóa và các tệp sao lưu cụm Cụm từ gọi nhớ . Một số kỹ năng thậm chí còn cố gắng tương tác với các nút Ethereum đang chạy cục bộ, dò tìm cấu hình điểm cuối RPC. Từ "thu thập thông tin hệ thống" đến "đánh cắp tài sản tiền điện tử", những kẻ tấn công đang nhanh chóng phát triển theo con đường có mật độ giá trị cao nhất.
Dự đoán thế hệ tấn công tiếp theo: Khi các tác nhân AI trở thành điểm xâm nhập ưu việt cho các cuộc tấn công APT
Nếu các cuộc tấn công hiện tại chỉ đơn thuần là "bằng chứng về khả năng thực hiện", thì các mối đe dọa ở giai đoạn tiếp theo sẽ thay đổi căn bản bối cảnh an ninh mạng. Các tác nhân AI có thể trở thành điểm xâm nhập lý tưởng cho các tác nhân tấn công dai dẳng nâng cao (APT). Kẻ tấn công có thể nhắm mục tiêu vào một nhóm dự án tiền điện tử cụ thể, phát triển tùy chỉnh một kỹ năng "Trợ lý phát triển hợp đồng thông minh". Kỹ năng này được đẩy lên ClawHub và, thông qua kỹ thuật xã hội, hướng dẫn nhóm mục tiêu cài đặt nó. Sau khi chạy, nó không chỉ đánh cắp khóa phát triển và thông tin ví của nhóm mà còn cài đặt cửa hậu vào mã nguồn, tự động chuyển quyền điều khiển cho kẻ tấn công khi hợp đồng thông minh được triển khai. Trong suốt cuộc tấn công, tác nhân AI trở thành "ngựa Trojan", và người dùng tự nguyện mời nó vào.
Kẻ tấn công cũng có thể ngừng tạo ra các kỹ năng độc hại riêng lẻ và thay vào đó làm ô nhiễm phiên bản kỹ năng của một công cụ mã nguồn mở phổ biến. Hãy tưởng tượng một kỹ năng "Trợ lý tương tác Web3.py" được sử dụng rộng rãi bị cấy mã độc; tất cả người dùng sử dụng kỹ năng này để tương tác với blockchain có thể bị can thiệp giao dịch một cách âm thầm. Hiệu ứng khuếch đại của một cuộc tấn công như vậy vượt xa các cuộc tấn công chuỗi cung ứng truyền thống vì tốc độ lan truyền và lòng tin của người dùng vào các kỹ năng AI đều cao hơn. Các kỹ năng độc hại trong tương lai thậm chí có thể sở hữu một mức độ nhất định khả năng ra quyết định tự chủ. Nó có thể quan sát các mẫu hoạt động của người dùng: nếu người dùng thường xuyên tương tác với các giao thức DeFi , hãy tập trung vào việc đánh cắp các khóa liên quan đến DeFi; nếu người dùng nắm giữ một số lượng lớn NFT, hãy nhắm mục tiêu vào quyền truy cập vào thị trường NFT. Khả năng thích ứng này sẽ khiến việc phát hiện bảo mật dựa trên quy tắc truyền thống hoàn toàn không hiệu quả.
Một cuộc cách mạng trong Paradigm an ninh: Từ "Phát hiện chữ ký" đến "Giám sát ý định hành vi"
Trước các mối đe dọa an ninh từ AI Agent, các giải pháp bảo mật truyền thống đã trở nên lỗi thời. Cơ sở dữ liệu chữ ký của phần mềm chống virus không thể xử lý hàng trăm kỹ năng AI mới được tạo ra mỗi ngày; việc giám sát lưu lượng mạng của tường lửa không thể nhìn thấy luồng ý định bên trong AI Agent; kiểm soát truy cập dựa trên quyền quá thô sơ để phân biệt giữa "đọc ví hợp pháp" và "đánh cắp khóa độc hại".
Paradigm bảo mật mới cần được xây dựng lại dựa trên ba nguyên tắc cốt lõi: Đồng bộ hóa và Xác minh Ý định và Hành vi theo Thời gian Thực. Hệ thống bảo mật cần giám sát toàn bộ chuỗi thực thi của một AI Agent: ý định đầu vào ban đầu của người dùng → sự phân tích ý định mà AI hiểu được → các thao tác cụ thể của các lệnh gọi kỹ năng → các hiệu ứng cuối cùng được tạo ra. Bất kỳ sự sai lệch nào giữa các bước đều phải kích hoạt cảnh báo. Nếu một kỹ năng cố gắng đọc dữ liệu tiện ích mở rộng trình duyệt với ý định "kiểm tra danh mục đầu tư", điều này phải được gắn cờ là hành vi đáng ngờ. Môi trường Thực thi Hộp cát với Quyền tối thiểu. Mỗi kỹ năng AI nên chạy trong một hộp cát được cách ly nghiêm ngặt, chỉ có quyền truy cập vào tập dữ liệu tối thiểu cần thiết để hoàn thành nhiệm vụ. Nếu đó là kỹ năng phân tích đầu tư, nó không cần quyền truy cập hệ thống tệp; nếu đó là kỹ năng thực thi giao dịch, nó chỉ cần quyền tương tác cho một DApp cụ thể, chứ không phải quyền kiểm soát toàn bộ trình duyệt. Các công nghệ container hóa tương tự như Docker cần được đưa vào hệ sinh thái AI Agent. Mạng lưới Xác minh và Uy tín Phi tập trung. Việc chỉ dựa vào một "trung tâm plugin chính thức" tập trung để đánh giá bảo mật đã chứng minh là một điểm yếu duy nhất. Tương lai đòi hỏi phải thiết lập một hệ thống đánh giá uy tín phi tập trung tương tự như các cuộc kiểm toán hợp đồng thông minh: các nhà phát triển kỹ năng công bố kỹ năng với danh tính có thể xác minh được, các chuyên gia bảo mật kiểm toán kỹ năng và công bố báo cáo kiểm toán, và người dùng đưa ra quyết định cài đặt dựa trên lịch sử kiểm toán và phản hồi từ cộng đồng. Bản thân công nghệ blockchain có thể được sử dụng để lưu trữ mã băm kỹ năng và bằng chứng kiểm toán, đảm bảo tính bất biến.
Hướng dẫn hành động khẩn cấp: Tăng cường phòng thủ trước cơn bão
Đối với người dùng Web3, nhà phát triển và các bên tham gia dự án, hành động ngay lập tức là rất quan trọng. Người dùng thông thường nên tuân theo "nguyên tắc ba không" khi cài đặt kỹ năng: không cài đặt kỹ năng từ các nguồn không xác định, không cài đặt kỹ năng yêu cầu quá nhiều quyền, không cài đặt kỹ năng không có lịch sử xác minh từ cộng đồng. Đồng thời, thiết lập "lớp phòng thủ ba lớp" cách ly môi trường: sử dụng thiết bị chuyên dụng hoặc máy ảo cho các hoạt động tài sản tiền điện tử, tách biệt vật lý môi trường sử dụng AI Agent khỏi môi trường lưu trữ tài sản, thiết lập các mức độ bảo mật khác nhau cho ví được sử dụng cho các mục đích khác nhau. Giám sát hành vi cũng yêu cầu thiết lập "ba điểm kiểm tra": thường xuyên xem xét danh sách các kỹ năng đã cài đặt, giám sát các yêu cầu kết nối mạng của AI Agent, kiểm tra các tập tin và thay đổi hệ thống do kỹ năng tạo ra.
Các nhà phát triển cần triển khai "bảo mật lệch trái" trong các quy trình kỹ thuật, xem xét các ràng buộc bảo mật trong giai đoạn thiết kế kỹ năng, triển khai quản lý quyền chi tiết và tránh các ủy quyền "tất cả hoặc không có gì" một cách tràn lan. Thực hiện "kiểm tra chuyên sâu" tất cả các phụ thuộc của bên thứ ba, đặc biệt là những phụ thuộc xử lý dữ liệu nhạy cảm hoặc thực hiện các hoạt động quan trọng. Tích hợp quét bảo mật tự động vào các đường ống CI/CD, tiến hành phân tích tĩnh và động trên mọi phiên bản của một kỹ năng và thiết lập "cổng bảo mật" cho tích hợp liên tục.
Các bên tham gia dự án phải chịu trách nhiệm về hệ sinh thái, thiết lập các "cơ chế truy cập" nghiêm ngặt cho thị trường kỹ năng, yêu cầu các nhà phát triển cung cấp xác minh danh tính và mô tả bảo mật cho các kỹ năng, xây dựng các kế hoạch "ứng phó khẩn cấp" rõ ràng cho các sự cố bảo mật, bao gồm gỡ bỏ nhanh chóng, thông báo cho người dùng và đánh giá thiệt hại. Khuyến khích các hacker mũ trắng phát hiện các lỗ hổng bảo mật thông qua các chương trình săn lỗi nhận tiền thưởng , nâng cao nhận thức về bảo mật của toàn bộ hệ sinh thái thông qua giáo dục bảo mật và xây dựng một "văn hóa bảo mật" lành mạnh.
Định nghĩa lại ranh giới của sự tin tưởng trong kỷ nguyên trí tuệ
341 kỹ năng độc hại này không chỉ là một sự cố bảo mật; chúng là một tuyên bố về việc vẽ lại ranh giới. Một bên của ranh giới này là tiềm năng vô hạn của các tác nhân AI như những công cụ tăng năng suất; bên kia là những kẻ tấn công đang thực hiện các cuộc tấn công giảm chiều bằng cách khai thác mối quan hệ tin cậy mới giữa con người và AI. Trước đây, chúng ta xây dựng các biện pháp phòng thủ bảo mật ở cấp độ hệ điều hành, ứng dụng và giao thức mạng. Giờ đây, chúng ta phải thiết lập một tuyến phòng thủ mới ở lớp nơi ý định được chuyển thành hành động thực thi. Tuyến phòng thủ này không chỉ bảo vệ dữ liệu và hệ thống, mà còn là nền tảng của sự tin cậy cho sự hợp tác giữa con người và AI.
Đối với thế giới Web3, thách thức này đặc biệt nghiêm trọng. Lời hứa cốt lõi của Web3 là trả lại quyền kiểm soát từ các tổ chức tập trung cho cá nhân, và các tác nhân AI có thể trở thành "con ngựa thành Trojan" của lời hứa này—bề ngoài mang lại cho người dùng quyền kiểm soát lớn hơn, trong khi thực chất lại tạo ra những điểm rủi ro tập trung hóa mới. Nếu người dùng phải hoàn toàn tin tưởng vào các tác nhân AI để quản lý an toàn tài sản tiền điện tử của họ, thì nguyên tắc cốt lõi "khóa của bạn, tiền điện tử của bạn" sẽ trở nên vô nghĩa trong thực tế. Giải pháp sẽ không đến từ một công nghệ duy nhất hay một nhóm duy nhất. Nó đòi hỏi sự tham gia tập thể của các nhà nghiên cứu bảo mật, nhà phát triển AI, kỹ sư blockchain và người dùng cuối. Nó đòi hỏi các giao thức bảo mật mới, các tiêu chuẩn kiểm toán mới, các mô hình quản trị mới. Nhưng quan trọng nhất, nó đòi hỏi một sự thức tỉnh về nhận thức: trong khi đón nhận cuộc cách mạng hiệu quả do AI mang lại, chúng ta phải bảo vệ ranh giới tin cậy được định nghĩa lại giữa con người và máy móc với sự cảnh giác tương đương, nếu không muốn nói là cao hơn. 341 kỹ năng độc hại là một lời cảnh báo nhưng cũng là một cơ hội. Chúng buộc chúng ta phải đối mặt và giải quyết những thách thức bảo mật sâu sắc nhất của các tác nhân AI trước khi chúng trở nên phổ biến. Kết quả của trận chiến này sẽ quyết định liệu chúng ta tiến tới một tương lai nơi mọi người có thể sử dụng các trợ lý ảo một cách an toàn hay bước vào một khu rừng đen tối nơi mọi trợ lý AI đều có thể là kẻ tấn công tiềm tàng. Sự lựa chọn nằm ở ngay thời điểm hiện tại.
