Các nhà nghiên cứu bảo mật vừa công bố một lỗ hổng mức độ nghiêm trọng cao mang tên "ClawJacked" tồn tại trong nền tảng AI tự lưu trữ OpenClaw. Lỗ hổng này cho phép một website độc hại âm thầm brute-force mật khẩu truy cập vào phiên bản OpenClaw đang chạy cục bộ trên máy người dùng, từ đó chiếm quyền điều khiển hoàn toàn hệ thống.
Vấn đề được phát hiện bởi Oasis Security và đã được báo cáo tới OpenClaw. Theo thông tin công bố, bản vá đã được phát hành trong phiên bản 2026.2.26 vào ngày 26 tháng 2, tức chỉ 24 giờ sau khi nhận được báo cáo chi tiết kèm mã khai thác mẫu.
OpenClaw là một nền tảng AI tự lưu trữ đang gia tăng nhanh chóng về mức độ phổ biến, cho phép các AI agent tự động gửi tin nhắn, thực thi lệnh và quản lý tác vụ trên nhiều nền tảng khác nhau. Tuy nhiên, chính kiến trúc linh hoạt này lại mở ra bề mặt tấn công nguy hiểm.
Theo phân tích của Oasis Security, nguyên nhân cốt lõi nằm ở việc dịch vụ gateway của OpenClaw mặc định bind vào localhost và mở một giao diện WebSocket. Do chính sách cross-origin của trình duyệt không chặn các kết nối WebSocket tới localhost, một website độc hại mà người dùng truy cập có thể sử dụng JavaScript để âm thầm mở kết nối tới gateway nội bộ và thử xác thực mà không hiển thị bất kỳ cảnh báo nào.
Dù OpenClaw có cơ chế giới hạn tốc độ nhằm ngăn brute-force, địa chỉ loopback 127.0.0.1 lại được miễn trừ mặc định để tránh khóa nhầm các phiên CLI nội bộ. Chính cơ chế miễn trừ này đã vô tình tạo ra lỗ hổng nghiêm trọng.
Oasis Security cho biết họ có thể brute-force mật khẩu quản trị OpenClaw với tốc độ hàng trăm lần thử mỗi giây chỉ bằng JavaScript chạy trong trình duyệt, trong khi các lần đăng nhập thất bại không bị giới hạn tốc độ hay ghi log. Sau khi đoán đúng mật khẩu, kẻ tấn công có thể tự động đăng ký như một thiết bị tin cậy vì gateway mặc định chấp thuận ghép nối từ localhost mà không yêu cầu người dùng xác nhận.
Trong thử nghiệm phòng lab, nhóm nghiên cứu đạt tốc độ duy trì hàng trăm lần thử mật khẩu mỗi giây. Ở tốc độ này, danh sách mật khẩu phổ biến có thể bị thử hết trong chưa đầy một giây, còn một từ điển lớn cũng chỉ mất vài phút. Theo Oasis, các mật khẩu do người dùng tự đặt gần như không có khả năng chống đỡ.
Khi đã có phiên đăng nhập hợp lệ với quyền quản trị, kẻ tấn công có thể tương tác trực tiếp với nền tảng AI, trích xuất thông tin đăng nhập, liệt kê các node kết nối, đọc log ứng dụng và đánh cắp dữ liệu xác thực. Thậm chí, chúng có thể ra lệnh cho AI agent tìm kiếm lịch sử tin nhắn chứa thông tin nhạy cảm, trích xuất file từ các thiết bị kết nối hoặc thực thi lệnh shell tùy ý trên các node đã ghép nối. Điều này đồng nghĩa với việc một tab trình duyệt độc hại có thể dẫn đến việc xâm phạm toàn bộ máy trạm.
Oasis đã công bố bản demo minh họa cách khai thác lỗ hổng để đánh cắp dữ liệu nhạy cảm thông qua OpenClaw.
Sau khi tiếp nhận báo cáo cùng chi tiết kỹ thuật và mã proof-of-concept, đội ngũ OpenClaw đã phát hành bản vá trong vòng 24 giờ. Bản cập nhật tăng cường kiểm tra bảo mật WebSocket và bổ sung lớp bảo vệ nhằm ngăn việc lợi dụng kết nối loopback localhost để brute-force hoặc chiếm quyền phiên làm việc, kể cả khi các kết nối này được cấu hình miễn trừ giới hạn tốc độ.
Các tổ chức và nhà phát triển đang vận hành OpenClaw được khuyến nghị cập nhật ngay lên phiên bản 2026.2.26 hoặc mới hơn để tránh nguy cơ bị chiếm quyền cài đặt.
Trong bối cảnh OpenClaw ngày càng phổ biến, giới nghiên cứu bảo mật cũng tăng cường rà soát các điểm yếu tiềm ẩn. Trước đó, các tác nhân đe dọa đã bị phát hiện lợi dụng kho kỹ năng ClawHub của OpenClaw để phát tán kỹ năng độc hại, triển khai malware đánh cắp thông tin hoặc dụ người dùng thực thi lệnh nguy hiểm trên thiết bị của họ.
Việc phát hiện và khắc phục nhanh lỗ hổng lần này cho thấy rủi ro bảo mật đang gia tăng song song với sự phát triển của các nền tảng AI agent tự động, đặc biệt khi chúng được triển khai theo mô hình tự lưu trữ và có quyền truy cập sâu vào hệ thống nội bộ của người dùng.
