Các AI agent như OpenClaw có thể rút cạn ví tiền điện tử thông qua 'kỹ năng độc hại': CertiK

Việc tích hợp rộng rãi các trợ lý AI như OpenClaw đang tạo ra những rủi ro bảo mật nghiêm trọng, khiến người dùng có nguy cơ bị thực hiện các hành động trái phép, rò rỉ dữ liệu, xâm phạm hệ thống và bị mất ví tiền điện tử, theo công ty an ninh mạng CertiK.

OpenClaw là một tác nhân AI tự lưu trữ có thể tích hợp với các nền tảng nhắn tin như WhatsApp, Slack và Telegram và có thể tự động thực hiện các hành động trên máy tính của người dùng, chẳng hạn như quản lý email, lịch và tệp tin.

Ước tính có khoảng 2 triệu người dùng hoạt động hàng tháng trên nền tảng này, theo Openclaw.vps. Một nghiên cứu của McKinsey vào tháng 11 cho thấy 62% người tham gia khảo sát cho biết tổ chức của họ đã và đang thử nghiệm với các tác nhân AI.

Tuy nhiên, CertiK cảnh báo rằng nó đã trở thành “vector tấn công chuỗi cung ứng chính ở quy mô rộng”.

OpenClaw phát triển từ một dự án phụ ra mắt vào tháng 11 năm 2025, lên tới hơn 300.000 sao trên GitHub - tính năng đánh dấu hoặc “thích” trên nền tảng dành cho nhà phát triển, cho thấy sự gia tăng nổi bật về độ phổ biến nhưng cũng đồng thời tích lũy “khoản nợ an ninh” nghiêm trọng trong quá trình này, CertiK cho biết.

Tuy nhiên, chỉ vài tuần sau khi ra mắt, Bitsight đã xác định được 30.000 trường hợp OpenClaw mở rộng trên Internet, còn các nhà nghiên cứu ở SecurityScorecard phát hiện 135.000 trường hợp ở 82 quốc gia, với 15.200 trường hợp đặc biệt dễ bị tấn công thực thi mã từ xa.

OpenClaw cũng đã trở thành nền tảng tác nhân AI bị giám sát an ninh “một cách quyết liệt nhất”, tích lũy hơn 280 Cảnh báo An ninh GitHub, 100 Lỗ hổng và Phơi nhiễm Thường gặp (CVEs), cùng “một loạt các cuộc tấn công ở quy mô hệ sinh thái” kể từ khi ra mắt vào tháng 11, các nhà nghiên cứu của CertiK viết trong một báo cáo chia sẻ với Cointelegraph.

Tốc độ phát triển nhanh chóng của hệ sinh thái OpenClaw. Nguồn: CertiK 

Thông tin đăng nhập ví tiền điện tử đang gặp rủi ro

Vì OpenClaw hoạt động như cầu nối giữa các đầu vào bên ngoài và thực thi hệ thống cục bộ, các nhà nghiên cứu cho biết “nó mở ra các vector tấn công kinh điển”.

Bao gồm chiếm quyền truy cập cổng cục bộ, khi các trang web độc hại hoặc mã độc có thể khai thác sự hiện diện của tác nhân trên máy cá nhân để trích xuất dữ liệu nhạy cảm của người dùng hoặc thực thi các lệnh trái phép.

CertiK cảnh báo về hiểm họa từ các plugin, có thể thêm kênh, công cụ, tuyến HTTP, dịch vụ và nhà cung cấp mới, trong khi các kỹ năng độc hại có thể được cài đặt từ máy cá nhân hoặc thị trường trực tuyến.

Không giống như mã độc truyền thống, “kỹ năng độc hại” có thể thao túng hành vi thông qua ngôn ngữ tự nhiên, làm cho các phương pháp quét thông thường không hiệu quả.

“Một khi được kích hoạt, mã độc có thể đánh cắp thông tin nhạy cảm như mật khẩu và thông tin đăng nhập ví tiền điện tử.”

Các cửa hậu độc hại cũng có thể được ẩn giấu bên trong mã nguồn hợp lệ, “nơi chúng sẽ lấy về các URL tưởng như vô hại nhưng thực chất lại tải về các lệnh shell hoặc mã độc”, họ nói thêm.

Các nhà nghiên cứu CertiK cho biết với Cointelegraph rằng kẻ tấn công đã chiến lược gieo rắc các kỹ năng độc hại trên nhiều danh mục có giá trị cao, “bao gồm tiện ích cho Phantom, trình theo dõi ví, công cụ tìm ví nội bộ, công cụ Polymarket và tích hợp Google Workspace.”

“Chúng phủ sóng rộng khắp hệ sinh thái crypto, với payload chính nhằm mục tiêu vào số lượng lớn ví mở rộng trình duyệt cùng lúc, như MetaMask, Phantom, Trust Wallet, Coinbase Wallet, OKX Wallet và nhiều loại ví khác,” họ cho biết.

Các nhà nghiên cứu bổ sung thêm rằng tồn tại “sự trùng lặp rõ ràng về kỹ thuật tác chiến với hệ sinh thái trộm cắp tiền mã hóa rộng lớn hơn, như kỹ nghệ xã hội, mồi chào tiện ích giả mạo, đánh cắp thông tin đăng nhập, phishing nhắm vào ví.”

“Tất cả những điều này đều là các phương thức nổi tiếng từ kịch bản kẻ rút cạn crypto (crypto drainer playbook), và chúng tôi đã thấy chúng được áp dụng tại đây.

Peter Steinberg, nhà sáng lập OpenClaw, người gần đây đã gia nhập OpenAI, cho biết họ đang nỗ lực cải thiện bảo mật cho OpenClaw.

"Điều mà chúng tôi đã tập trung làm trong hai tháng qua chính là bảo mật. Thế nên giờ mọi thứ ở mặt này đã tốt hơn rất nhiều," Steinberg nói tại sự kiện "ClawCon" hôm thứ Hai ở Tokyo.

Đừng cài đặt OpenClaw trừ khi bạn là dân công nghệ

Đầu tháng này, công ty an ninh mạng OX Security đã báo cáo một chiến dịch phishing dùng bài đăng giả trên GitHub và một token “CLAW” giả để dụ các nhà phát triển OpenClaw kết nối ví tiền điện tử.

CertiK khuyến nghị người dùng phổ thông “không phải chuyên gia bảo mật, lập trình viên hoặc dân công nghệ giàu kinh nghiệm” thì không nên cài đặt và sử dụng OpenClaw ngay từ đầu mà hãy chờ “các phiên bản trưởng thành, bảo mật hơn và dễ quản lý hơn.”

Công ty an ninh mạng SlowMist cũng đã giới thiệu một khung bảo mật cho các tác nhân AI vào đầu tháng 3, giới thiệu nó như một “pháo đài số hóa” giúp phòng thủ trước những rủi ro liên quan đến hệ thống tự động thực thi hành động onchain và quản lý tài sản kỹ thuật số.