Lời giới thiệu: Trí tuệ nhân tạo kiểm toán là máy ATM của hacker.
Ở Giai đoạn 1, chúng ta đã chỉ ra những lỗi hệ thống trong kiến trúc OpenClaw. Hôm nay, chúng ta sẽ đối mặt với ba "cảnh tượng đẫm máu" thực tế. Những trường hợp này cho thấy một thực tế khắc nghiệt: trong lĩnh vực AI Agent, những sơ suất cơ bản nhất thường dẫn đến những sự sụp đổ tài sản thảm khốc nhất.
Trường hợp 1: 1,5 triệu bằng chứng bị rò rỉ – Hé lộ cái giá chết người của “lập trình tâm lý”
Bối cảnh: Một vụ rò rỉ dữ liệu quy mô lớn đã xảy ra trên Moltbook, nền tảng mạng xã hội đóng vai trò là tác nhân AI cốt lõi của OpenClaw.
• Trọng tâm của sự cố: Hơn 1,5 triệu thông tin đăng nhập của đại lý đã bị rò rỉ.
• Nguyên nhân chí mạng: không phải do các lỗ hổng bảo mật phức tạp chưa được phát hiện (0-day vulnerabilities), mà vì cơ chế kiểm soát truy cập cơ bản nhất hoàn toàn không hiệu quả.
• Đánh giá độ sâu: Người sáng lập Moltbook thừa nhận rằng toàn bộ mã của hệ thống được tạo tự động bởi trí tuệ nhân tạo (Vibe Coding), và bản thân ông không viết một dòng mã nào.
WEEX Labs nhận định: "Lập trình tâm lý" đã hạ thấp rào cản phát triển xuống mức 0, nhưng đồng thời cũng hạ thấp rào cản an ninh xuống mức tiêu cực. Trí tuệ nhân tạo có thể tạo ra chức năng, nhưng chưa thể tạo ra "trực giác phòng thủ". Mã AI thiếu kiểm toán an ninh của con người về cơ bản giống như xây dựng những tòa nhà chọc trời trên cát.
Trường hợp 2: "Bản đồ kho báu" được lưu trữ dưới dạng văn bản thuần túy – cuộc săn lùng chính xác Trojan Infostealer.
Bối cảnh: Vào tháng 2 năm 2026, một công ty bảo mật đã phát hiện ra một biến thể mới của Trojan Vidar chuyên đánh cắp dữ liệu, nhắm mục tiêu cụ thể vào người dùng OpenClaw.
• Đường tấn công: Hacker không cần phải tìm kiếm các lỗ hổng trong mã nguồn; chúng chỉ cần cập nhật các quy tắc "thu thập tập tin" của Trojan và quét mục lục mặc định ~/.openclaw.
• Mức độ thiệt hại: Danh tính AI của hơn một triệu thiết bị có rủi ro bị chiếm đoạt.
• Nhược điểm kỹ thuật: OpenClaw lưu trữ các thông tin nhạy cảm cốt lõi như mã thông báo và Key riêng tư dưới dạng văn bản thuần trong một tệp cấu hình cục bộ.
WEEX Labs nhận định: "Mã nguồn mở" không có nghĩa là dữ liệu bí mật có thể bị giao nộp. Trong hoàn cảnh Web3, mức độ bảo mật của các tệp cấu hình cục bộ phải tương đương với mức độ private key. Lỗi thiết kế này trong OpenClaw đã trực tiếp biến các trợ lý AI thành "người dẫn đường" cho hacker.
Trường hợp 3: CVE-2026-25253, một lỗ hổng RCE có rủi ro cao , nhấn việc bị xâm nhập ngay lập tức chỉ với một cú nhấp chuột.
Bối cảnh: Vào tháng 1 năm 2026, OpenClaw đã khẩn cấp vá một lỗ hổng bảo mật có mức độ rủi ro cao với điểm CVSS lên tới 8.8 .
• Phương thức tấn công: Tấn công chiếm quyền điều khiển WebSocket xuyên trang (CSWSH).
• Khía cạnh đáng sợ: Kẻ tấn công từ xa không cần xác thực có thể dễ dàng lừa nạn nhân nhấn liên kết độc hại, sau đó sử dụng trình duyệt làm bàn đạp để vượt qua lớp bảo mật (sandbox) và thực thi các lệnh hệ thống cấp thấp tùy ý trên máy chủ.
• Bài học rút ra: “Truy cập cục bộ” không đồng nghĩa với bảo mật.
WEEX Labs nhận định: Lỗ hổng này một lần nữa chứng minh tầm quan trọng của "kiến trúc không tin tưởng tuyệt đối". Trong thế giới hiện nay, nơi AI Agent thường xuyên yêu cầu quyền truy cập hệ thống, bất kỳ nhấn vào liên kết bên ngoài đều có khả năng dẫn đến việc toàn bộ hệ thống bị xâm phạm.
Tóm tắt về WEEX Labs
Ba trường hợp này minh họa ba mối đe dọa đối với an ninh AI: mã nguồn không thể kiểm soát (Trường hợp 1), dữ liệu crypto(Trường hợp 2) và ranh giới không an toàn (Trường hợp 3). Trong quá trình theo đuổi năng suất bùng nổ do AI mang lại, nếu chúng ta không duy trì mức độ an ninh cơ bản, mỗi trợ lý AI mà chúng ta xây dựng có thể trở thành một quả bom hẹn giờ được chôn giấu trong chính hệ thống của chúng ta.
