Gần đây, nền tảng tác nhân AI tự lưu trữ mã nguồn mở OpenClaw (thường được gọi trong giới là "Tôm hùm đất") đã nhanh chóng trở nên nổi tiếng nhờ khả năng mở rộng linh hoạt và đặc tính triển khai tự chủ, trở thành một sản phẩm hiện tượng trong lĩnh vực tác nhân AI cá nhân. Clawhub, trung tâm của hệ sinh thái này, hoạt động như một chợ ứng dụng, tập hợp vô số plugin chức năng Skill của bên thứ ba, cho phép tác nhân AI mở khóa ngay lập tức các khả năng cao cấp từ tìm kiếm web, sáng tạo nội dung, đến thao tác ví mã hóa, tương tác trên chuỗi, tự động hóa hệ thống, v.v., quy mô hệ sinh thái và lượng người dùng đang tăng trưởng bùng nổ.
Nhưng đối với các Skill của bên thứ ba chạy trong môi trường quyền cao như vậy, ranh giới bảo mật thực sự của nền tảng nằm ở đâu?
Gần đây, CertiK, công ty bảo mật Web3 lớn nhất toàn cầu, đã công bố nghiên cứu mới nhất về bảo mật Skill. Bài viết chỉ ra rằng thị trường hiện đang có sự hiểu lầm về nhận thức đối với ranh giới an ninh của hệ sinh thái tác nhân AI: ngành công nghiệp phổ biến coi "quét Skill" là ranh giới bảo mật cốt lõi, nhưng cơ chế này gần như vô dụng trước các cuộc tấn công của hacker.
Nếu so sán OpenClaw với một hệ điều hành thiết bị thông minh, thì Skill chính là các APP khác nhau được cài đặt trong hệ thống. Khác với APP tiêu dùng thông thường, một số Skill trong OpenClaw chạy trong môi trường quyền cao, có thể trực tiếp truy cập tệp cục bộ, gọi công cụ hệ thống, kết nối dịch vụ bên ngoài, thực thi lệnh môi trường máy chủ, thậm chí thao tác tài sản kỹ thuật số mã hóa của người dùng. Một khi xảy ra sự cố bảo mật, hậu quả nghiêm trọng như rò rỉ thông tin nhạy cảm, thiết bị bị chiếm quyền điều khiển từ xa, tài sản kỹ thuật số bị đánh cắp sẽ xảy ra trực tiếp.
Hiện tại, giải pháp bảo mật phổ biến của toàn ngành cho Skill của bên thứ ba là "quét và kiểm duyệt trước khi lên kệ". Clawhub của OpenClaw cũng đã xây dựng một hệ thống phòng hộ kiểm duyệt ba tầng: kết hợp quét mã VirusTotal, công cụ phát hiện mã tĩnh, phát hiện tính nhất quán logic bằng AI, đẩy thông báo cảnh báo an toàn đến người dùng thông qua phân loại rủi ro, cố gắng bảo vệ an ninh hệ sinh thái bằng cách này. Nhưng nghiên cứu và kiểm tra tấn công xác minh khái niệm (PoC) của CertiK xác nhận rằng hệ thống phát hiện này có điểm yếu trong đối kháng tấn công-phòng thủ thực tế và không thể đảm nhận trọng trách cốt lõi của phòng hộ bảo mật.
Nghiên cứu đầu tiên phân tích các hạn chế tự nhiên của cơ chế phát hiện hiện có:
Quy tắc phát hiện tĩnh rất dễ bị bỏ qua. Cốt lõi của công cụ này là khớp đặc trưng mã để nhận diện rủi ro, ví dụ kết hợp "đọc thông tin nhạy cảm môi trường + gửi yêu cầu mạng" được đánh giá là hành vi nguy hiểm cao, nhưng kẻ tấn công chỉ cần viết lại cú pháp mã một chút, trong khi vẫn giữ nguyên hoàn toàn logic độc hại, có thể dễ dàng vượt qua sự khớp đặc trưng, giống như thay một cách diễn đạt đồng nghĩa cho nội dung nguy hiểm, khiến máy kiểm tra an ninh hoàn toàn mất tác dụng.
Kiểm duyệt AI có điểm mù phát hiện bẩm sinh. Kiểm duyệt AI cốt lõi của Clawhub định vị là "bộ phát hiện tính nhất quán logic", chỉ có thể vạch trần mã độc rõ ràng "chức năng khai báo không phù hợp với hành vi thực tế", nhưng lại bó tay trước các lỗ hổng khai thác được ẩn giấu trong logic nghiệp vụ bình thường, giống như rất khó phát hiện ra cái bẫy chết người ẩn sâu trong các điều khoản từ một bản hợp đồng có vẻ tuân thủ.
Nguy hiểm hơn nữa, quy trình kiểm duyệt có thiết kế lỗi cơ bản: ngay cả khi kết quả quét của VirusTotal vẫn ở trạng thái "đang chờ xử lý", chưa hoàn thành "kiểm tra sức khỏe" toàn bộ quy trình, Skill vẫn có thể lên kệ công khai trực tiếp, người dùng có thể cài đặt hoàn tất trong tình trạng không có cảnh báo, tạo cơ hội cho kẻ tấn công.
Để xác minh tác hại rủi ro thực tế, nhóm nghiên cứu CertiK đã hoàn thành bài kiểm tra đầy đủ. Nhóm đã phát triển một Skill có tên "test-web-searcher", bề ngoài là một công cụ tìm kiếm web hoàn toàn tuân thủ, logic mã hoàn toàn phù hợp với quy chuẩn phát triển thông thường, nhưng thực tế đã cấy lỗ hổng thực thi mã từ xa vào quy trình chức năng bình thường.
Skill này đã vượt qua sự phát hiện của công cụ tĩnh và kiểm duyệt AI, trong khi quét VirusTotal vẫn ở trạng thái chờ xử lý, đã thực hiện cài đặt bình thường không có bất kỳ cảnh báo an toàn nào; cuối cùng thông qua Telegram gửi từ xa một lệnh, đã kích hoạt thành công lỗ hổng, thực hiện thành công lệnh bất kỳ trên thiết bị máy chủ (trong bản demo đã điều khiển hệ thống mở trực tiếp máy tính).
CertiK trong nghiên cứu đã chỉ rõ, những vấn đề này không phải là lỗi sản phẩm riêng của OpenClaw, mà là điểm hiểu lầm phổ biến của toàn ngành công nghiệp tác nhân AI: ngành công nghiệp phổ biến coi "quét kiểm duyệt" là tuyến phòng thủ an ninh cốt lõi, nhưng lại bỏ qua nền tảng an ninh thực sự, chính là cách ly bắt buộc trong thời gian chạy và quản lý quyền hạn tinh vi. Điều này giống như cốt lõi bảo mật của hệ sinh thái iOS Apple, không bao giờ là kiểm duyệt nghiêm ngặt của App Store, mà là cơ chế hộp cát bắt buộc của hệ thống, quản lý quyền hạn tinh vi, cho phép mỗi APP chỉ chạy trong "khoang cách ly" chuyên dụng, không thể tùy ý lấy quyền hệ thống. Còn cơ chế hộp cát hiện có của OpenClaw là tùy chọn chứ không bắt buộc, và phụ thuộc nhiều vào cấu hình thủ công của người dùng, đa số người dùng để đảm bảo tính khả dụng chức năng của Skill sẽ chọn tắt hộp cát, cuối cùng khiến tác nhân AI ở trạng thái "chạy không", một khi cài đặt Skill có lỗ hổng hoặc mã độc, sẽ trực tiếp dẫn đến hậu quả thảm khốc.
Đối với các vấn đề phát hiện lần này, CertiK cũng đưa ra hướng dẫn an ninh:
● Đối với các nhà phát triển tác nhân AI như OpenClaw, phải đặt cách ly hộp cát thành cấu hình bắt buộc mặc định cho Skill của bên thứ ba, tinh vi hóa mô hình quản lý quyền hạn của Skill, tuyệt đối không cho phép mã của bên thứ ba mặc định kế thừa quyền cao của máy chủ.
● Đối với người dùng thông thường, Skill trên chợ có nhãn "an toàn", chỉ đại diện cho nó chưa được phát hiện rủi ro, không bằng an toàn tuyệt đối. Trước khi bên chính thức đặt cơ chế cách ly mạnh mẽ cơ bản thành cấu hình mặc định, khuyến nghị triển khai OpenClaw trên thiết bị không quan trọng, không dùng đến hoặc máy ảo, tuyệt đối không để nó đến gần tệp nhạy cảm, chứng chỉ mật khẩu và tài sản mã hóa giá trị cao.
Hiện tại lĩnh vực tác nhân AI đang ở đêm trước của bùng nổ, tốc độ mở rộng hệ sinh thái tuyệt đối không thể chạy nhanh hơn bước chân xây dựng an ninh. Quét kiểm duyệt chỉ có thể chặn các cuộc tấn công độc hại sơ cấp, nhưng mãi mãi không thể trở thành ranh giới an ninh của tác nhân AI quyền cao. Chỉ có thể chuyển từ "theo đuổi phát hiện hoàn hảo" sang "mặc định sự tồn tại của rủi ro để ngăn chặn thiệt hại", từ thiết lập ranh giới cách ly bắt buộc từ tầng dưới thời gian chạy, mới thực sự đảm bảo được đường底线 an ninh của tác nhân AI, để cuộc cách mạng công nghệ này tiến triển vững chắc và lâu dài.
Bài nghiên cứu gốc:https://x.com/hhj4ck/status/2033527312042315816?s=20
https://mp.weixin.qq.com/s/Wxrzt7bAo86h3bOKkx6 UoA
