“Tôm càng” của bạn có chạy khỏa thân không? Thử nghiệm thực tế của CertiK: Làm thế nào OpenClaw Skill dễ bị tấn công có thể gian lận quá trình kiểm tra và chiếm quyền điều khiển máy tính mà không được phép
Nếu so sánh OpenClaw với hệ điều hành của một thiết bị thông minh thì Skills chính là các APP khác nhau được cài đặt trong hệ thống. Một khi sự cố bảo mật xảy ra sẽ trực tiếp dẫn đến những hậu quả nghiêm trọng như rò rỉ thông tin nhạy cảm, chiếm đoạt thiết bị từ xa và đánh cắp tài sản kỹ thuật số.
Gần đây, nền tảng tác nhân AI tự lưu trữ mã nguồn mở OpenClaw (thường được gọi là "Crayfish" trong vòng tròn) đã nhanh chóng trở nên phổ biến nhờ khả năng mở rộng linh hoạt cũng như các tính năng triển khai độc lập và có thể kiểm soát, trở thành một sản phẩm phi thường trong lĩnh vực tác nhân AI cá nhân. Là một thị trường ứng dụng, Clawhub, cốt lõi của hệ sinh thái, tập hợp một số lượng lớn các plug-in chức năng Skill của bên thứ ba, cho phép các đại lý mở khóa các khả năng cấp cao như tìm kiếm trên web và tạo nội dung, cho đến hoạt động ví được mã hóa, tương tác trên chuỗi và tự động hóa hệ thống chỉ bằng một cú nhấp chuột. Quy mô hệ sinh thái và khối lượng người dùng đang có sự tăng trưởng bùng nổ.
Nhưng đối với loại Kỹ năng của bên thứ ba chạy trong môi trường đặc quyền cao này, đâu là ranh giới bảo mật thực sự của nền tảng?
Gần đây, CertiK, công ty bảo mật Web3 lớn nhất thế giới, đã công bố nghiên cứu mới nhất về bảo mật Skill. Bài báo chỉ ra rằng thị trường hiện tại đang có những hiểu lầm về ranh giới bảo mật của hệ sinh thái tác nhân AI: ngành thường coi “Quét kỹ năng” là ranh giới bảo mật cốt lõi và cơ chế này gần như vô dụng khi đối mặt với các cuộc tấn công của hacker.
Nếu so sánh OpenClaw với hệ điều hành của một thiết bị thông minh thì Skills chính là các APP khác nhau được cài đặt trong hệ thống. Không giống như các ứng dụng tiêu dùng thông thường, một số Kỹ năng trong OpenClaw chạy trong môi trường đặc quyền cao và có thể truy cập trực tiếp vào các tệp cục bộ, gọi các công cụ hệ thống, kết nối với các dịch vụ bên ngoài, thực thi các lệnh môi trường máy chủ và thậm chí vận hành tài sản kỹ thuật số được mã hóa của người dùng. Một khi sự cố bảo mật xảy ra sẽ trực tiếp dẫn đến những hậu quả nghiêm trọng như rò rỉ thông tin nhạy cảm, chiếm đoạt thiết bị từ xa và đánh cắp tài sản kỹ thuật số.
Giải pháp bảo mật phổ biến hiện nay đối với kỹ năng của bên thứ ba trong toàn ngành là "quét và kiểm tra trước khi niêm yết". Clawhub của OpenClaw cũng đã xây dựng một hệ thống bảo vệ kiểm toán ba lớp: tích hợp quét mã VirusTotal, công cụ phát hiện mã tĩnh và phát hiện tính nhất quán logic AI, đồng thời đưa ra lời nhắc bật lên về bảo mật cho người dùng thông qua phân loại rủi ro nhằm duy trì an ninh sinh thái. Tuy nhiên, các nghiên cứu và thử nghiệm tấn công bằng chứng khái niệm của CertiK đã xác nhận rằng hệ thống phát hiện này có những thiếu sót trong các cuộc đối đầu tấn công và phòng thủ thực sự và không thể gánh vác trách nhiệm cốt lõi là bảo vệ an ninh.
Nghiên cứu này lần đầu tiên đã tháo gỡ những hạn chế tự nhiên của cơ chế phát hiện hiện có:
Các quy tắc phát hiện tĩnh rất dễ bị bỏ qua. Cốt lõi của công cụ này dựa vào các tính năng mã phù hợp để xác định rủi ro. Ví dụ: sự kết hợp giữa "đọc thông tin nhạy cảm với môi trường + yêu cầu mạng gửi đi" được đánh giá là hành vi có nguy cơ cao. Tuy nhiên, kẻ tấn công chỉ cần thực hiện những thay đổi nhỏ về cú pháp đối với mã và có thể dễ dàng bỏ qua việc khớp tính năng trong khi vẫn giữ lại hoàn toàn logic độc hại. Nó giống như việc thay đổi một tập hợp các biểu thức đồng nghĩa cho nội dung nguy hiểm, khiến thiết bị bảo mật hoàn toàn không hoạt động hiệu quả.
Kiểm toán AI vốn có những điểm mù về khả năng phát hiện. Định vị cốt lõi của hoạt động kiểm tra AI của Clawhub là "công cụ phát hiện tính nhất quán logic". Nó chỉ có thể phát hiện mã độc rõ ràng "trạng thái chức năng không phù hợp với hành vi thực tế", nhưng bất lực trước các lỗ hổng có thể khai thác được ẩn trong logic kinh doanh thông thường. Cũng giống như rất khó để tìm ra những cái bẫy chết người ẩn sâu trong các điều khoản của một hợp đồng tưởng chừng như đã được tuân thủ.
Điều nguy hiểm hơn nữa là có những lỗi thiết kế cơ bản trong quá trình xem xét: ngay cả khi kết quả quét của VirusTotal vẫn ở trạng thái “đang chờ xử lý”, các Kỹ năng chưa hoàn thành “kiểm tra thể chất” đầy đủ có thể được công khai trực tiếp và người dùng có thể hoàn tất quá trình cài đặt mà không cần cảnh báo, tạo cơ hội cho những kẻ tấn công.
Để xác minh mức độ nguy hại thực sự của rủi ro, nhóm nghiên cứu của CertiK đã hoàn thành một bài kiểm tra hoàn chỉnh. Nhóm đã phát triển một Kỹ năng có tên là "người tìm kiếm trên web". Nhìn bề ngoài, nó là một công cụ tìm kiếm web tuân thủ đầy đủ. Logic mã hoàn toàn tuân thủ các thông số kỹ thuật phát triển thông thường. Trên thực tế, một lỗ hổng thực thi mã từ xa đã được cài vào quy trình chức năng thông thường.
Kỹ năng này đã bỏ qua việc phát hiện công cụ tĩnh và kiểm tra AI, đồng thời đạt được cài đặt bình thường mà không có bất kỳ cảnh báo bảo mật nào khi quá trình quét VirusTotal vẫn đang chờ xử lý. Cuối cùng, bằng cách gửi lệnh từ xa thông qua Telegram, lỗ hổng đã được kích hoạt thành công và việc thực thi lệnh tùy ý đã đạt được trên thiết bị chủ (máy tính được hệ thống điều khiển trực tiếp để bật lên trong phần trình diễn).
CertiK đã chỉ ra rõ ràng trong nghiên cứu rằng những vấn đề này không phải là lỗi sản phẩm riêng của OpenClaw, mà là những hiểu lầm phổ biến trong toàn bộ ngành tác nhân AI: ngành này thường coi "quét kiểm tra" là tuyến phòng thủ bảo mật cốt lõi, nhưng bỏ qua nền tảng bảo mật thực sự, đó là sự cách ly bắt buộc và kiểm soát quyền tinh vi trong thời gian chạy. Đây giống như cốt lõi bảo mật của hệ sinh thái iOS của Apple. App Store chưa bao giờ được xem xét nghiêm ngặt mà là cơ chế hộp cát bắt buộc của hệ thống và kiểm soát quyền được tinh chỉnh, để mỗi APP chỉ có thể chạy trong "cabin cách ly" của riêng mình và không thể có được quyền của hệ thống theo ý muốn. Cơ chế sandbox hiện tại của OpenClaw là tùy chọn thay vì bắt buộc và phụ thuộc nhiều vào cấu hình thủ công của người dùng. Để đảm bảo tính khả dụng về mặt chức năng của Kỹ năng, đại đa số người dùng sẽ chọn tắt hộp cát, cuối cùng khiến tác nhân ở trạng thái "vệt". Một khi Kỹ năng có lỗ hổng hoặc mã độc được cài đặt sẽ trực tiếp dẫn đến hậu quả thảm khốc.
Để giải quyết các vấn đề được phát hiện lần này, CertiK cũng đã đưa ra các nguyên tắc bảo mật:
● Đối với các nhà phát triển tác nhân AI như OpenClaw, tính năng cách ly hộp cát phải được đặt làm cấu hình bắt buộc mặc định của Kỹ năng bên thứ ba, mô hình kiểm soát và quản lý quyền của Kỹ năng phải được tinh chỉnh và mã của bên thứ ba không được kế thừa các quyền cao của máy chủ theo mặc định.
● Đối với người dùng thông thường, Kỹ năng có nhãn "an toàn" trong Chợ kỹ năng chỉ có nghĩa là Kỹ năng đó chưa được phát hiện là rủi ro, không có nghĩa là Kỹ năng đó tuyệt đối an toàn. Trước khi cơ chế cách ly mạnh mẽ cơ bản được chính thức đặt làm cấu hình mặc định, bạn nên triển khai OpenClaw trên các thiết bị nhàn rỗi hoặc máy ảo không quan trọng và không bao giờ để nó ở gần các tệp nhạy cảm, thông tin xác thực mật khẩu và tài sản được mã hóa có giá trị cao.
Con đường tác nhân thông minh AI hiện tại đang trên đà bùng nổ và tốc độ mở rộng sinh thái không được vượt quá tốc độ xây dựng an toàn. Quét kiểm tra chỉ có thể chặn các cuộc tấn công độc hại ở cấp độ thấp, nhưng nó sẽ không bao giờ trở thành ranh giới bảo mật cho các tác nhân có đặc quyền cao. Chỉ bằng cách chuyển từ "theo đuổi khả năng phát hiện hoàn hảo" sang "ngăn chặn thiệt hại do rủi ro mặc định" và buộc thiết lập các ranh giới cách ly với lớp dưới cùng của thời gian chạy, chúng ta mới có thể thực sự duy trì điểm mấu chốt an toàn của các tác nhân AI và làm cho cuộc cách mạng công nghệ này ổn định và sâu rộng.
