Clawdbot Chaos: Một cuộc tái thương hiệu bắt buộc, lừa đảo tiền điện tử và sụp đổ 24 giờ

Tóm tắt ngắn gọn

• Một tranh chấp thương hiệu đã gây ra việc đổi tên hỗn loạn và chiếm đoạt tài khoản của ứng dụng AI lan truyền, Clawdbot.
• Trong vài phút, token CLAWD không liên kết tăng vọt lên vốn hóa thị trường 16 triệu đô la trước khi sụp đổ.
• Các nhà nghiên cứu an ninh phát hiện các trường hợp Clawdbot bị lộ và rủi ro về thông tin đăng nhập.

Vài ngày trước, Clawdbot là một trong những dự án mã nguồn mở nóng nhất của GitHub, với hơn 80.000 sao. Đó là một tác phẩm kỹ thuật ấn tượng cho phép bạn chạy trợ lý AI cục bộ với quyền truy cập hệ thống đầy đủ qua các ứng dụng nhắn tin như WhatsApp, Telegram và Discord. Hôm nay, nó đã buộc phải đổi tên hợp pháp, bị các lừa đảo crypto chiếm đoạt, liên kết với một token giả mạo tạm thời đạt vốn hóa 16 triệu đô la trước khi sụp đổ, và bị các nhà nghiên cứu chỉ trích vì phát hiện các cổng lộ và thông tin đăng nhập dễ truy cập. Sự kiện bắt đầu sau khi Anthropic gửi yêu cầu về thương hiệu tới nhà sáng lập Peter Steinberger. Công ty AI—mà các mô hình Claude cung cấp năng lượng cho nhiều cài đặt của Clawdbot—quyết định rằng “Clawd” quá giống “Claude.” Đúng vậy. Luật thương hiệu là luật thương hiệu.

Tuy nhiên, điều này đã kích hoạt một loạt các vấn đề nhanh chóng lan rộng.

Tôi có ai từ GitHub trong dòng thời gian có thể giúp tôi lấy lại tài khoản GitHub không?
Nó đã bị các lừa đảo crypto chiếm đoạt.

— Peter Steinberger 🦞 (@steipete) 27 tháng 1, 2026

Steinberger đã thông báo về việc đổi tên từ Clawdbot—tên này chơi chữ về tôm hùm, rõ ràng (đừng hỏi)—sang Moltbot trên X. Cộng đồng dường như ổn với điều đó. “Cùng linh hồn tôm hùm, vỏ mới,” tài khoản dự án viết. Tiếp theo, Steinberger đã đổi tên tổ chức GitHub và tài khoản X cùng lúc. Nhưng trong khoảng thời gian ngắn giữa việc phát hành các tên cũ và bảo vệ các tên mới, các lừa đảo crypto đã chiếm đoạt cả hai tài khoản.

Các tài khoản bị hack ngay lập tức bắt đầu đẩy một token giả gọi là CLAWD trên Solana. Trong vòng vài giờ, các nhà giao dịch đầu cơ đã đẩy token lên hơn 16 triệu đô la vốn hóa thị trường. Một số người mua sớm đã tuyên bố lợi nhuận khổng lồ. Steinberger phủ nhận bất kỳ liên quan nào đến token này. Vốn hóa thị trường sụp đổ và những người mua muộn bị thiệt hại nặng nề. “Gửi tất cả các anh em crypto: Xin đừng nhắn tin, đừng quấy rối tôi,” Steinberger viết. “Tôi sẽ không bao giờ làm coin. Bất kỳ dự án nào liệt kê tôi là chủ coin đều là SCAM. Không, tôi sẽ không nhận phí. Các bạn đang gây hại cho dự án.”

Gửi tất cả các anh em crypto:
Xin đừng nhắn tin, đừng quấy rối tôi.
Tôi sẽ không bao giờ làm coin.
Bất kỳ dự án nào liệt kê tôi là chủ coin đều là SCAM.
Không, tôi sẽ không nhận phí.
Các bạn đang gây hại cho dự án.

— Peter Steinberger 🦞 (@steipete) 27 tháng 1, 2026

Cộng đồng crypto không phản ứng tốt với sự từ chối này. Một số nhà đầu cơ tin rằng sự phủ nhận của Steinberger đã gây ra thiệt hại cho họ và bắt đầu các chiến dịch quấy rối. Ông phải đối mặt với cáo buộc phản bội, yêu cầu “chịu trách nhiệm,” và áp lực phối hợp để ủng hộ các dự án mà ông chưa từng nghe qua. Cuối cùng, Steinberger đã lấy lại quyền kiểm soát các tài khoản. Nhưng trong thời gian đó, các nhà nghiên cứu an ninh đã quyết định đây là thời điểm tốt để chỉ ra rằng hàng trăm trường hợp Clawdbot bị lộ ra ngoài internet công cộng mà không có xác thực nào. Nói cách khác, người dùng sẽ cấp quyền không giám sát cho AI, dễ bị kẻ xấu lợi dụng. Theo báo cáo của Decrypt, nhà phát triển AI Luis Catacora đã chạy quét Shodan và phát hiện nhiều vấn đề chủ yếu do người dùng mới chưa hiểu rõ cấp quá nhiều quyền cho agent. “Tôi vừa kiểm tra Shodan và có các cổng lộ trên port 18789 không có xác thực,” anh viết. “Đó là truy cập shell, tự động hóa trình duyệt, khóa API của bạn. Cloudflare Tunnel miễn phí, không có lý do gì để không sử dụng.” Jamieson O’Reilly, sáng lập công ty red-teaming Dvuln, cũng phát hiện rất dễ để xác định các máy chủ dễ bị tấn công. “Trong số các trường hợp tôi đã kiểm tra thủ công, có tám máy mở mà không có xác thực nào,” O’Reilly nói với The Register. Hàng chục máy nữa có các biện pháp bảo vệ một phần nhưng không loại bỏ hoàn toàn khả năng bị lộ.

Vấn đề kỹ thuật? Hệ thống xác thực của Clawdbot tự động chấp nhận các kết nối localhost—tức là, kết nối đến máy của chính bạn. Khi người dùng chạy phần mềm sau một reverse proxy, như phần lớn mọi người đều làm, tất cả các kết nối đều xuất phát từ 127.0.0.1 và được tự động ủy quyền, ngay cả khi chúng bắt nguồn từ bên ngoài. Công ty an ninh blockchain SlowMist xác nhận lỗ hổng này và cảnh báo rằng nhiều lỗi mã có thể dẫn đến việc đánh cắp thông tin đăng nhập và thực thi mã từ xa. Các nhà nghiên cứu đã trình diễn các cuộc tấn công chèn lệnh khác nhau, bao gồm một cuộc tấn công qua email khiến một instance AI chuyển tiếp tin nhắn riêng tư cho kẻ tấn công. Chỉ mất vài phút.

🚨SlowMist TI Alert🚨

Phát hiện lộ cổng Clawdbot: hàng trăm khóa API và nhật ký trò chuyện riêng tư đang gặp nguy hiểm. Nhiều instance không xác thực có thể truy cập công khai, và một số lỗi mã có thể dẫn đến đánh cắp thông tin đăng nhập và thậm chí thực thi mã từ xa (RCE).

Chúng tôi mạnh mẽ… https://t.co/j2ERoWPFnh

— SlowMist (@SlowMist_Team) 27 tháng 1, 2026

“Đây là hậu quả khi tăng trưởng nhanh chóng xảy ra trước khi có kiểm tra an ninh,” nhà phát triển FounderOS Abdulmuiz Adeyemo viết. “‘Xây dựng công khai’ có mặt tối mà không ai nói về.” Tin tốt cho các hobbyist và nhà phát triển AI là dự án này vẫn chưa chết. Moltbot vẫn là phần mềm như Clawdbot; mã nguồn vững chắc và, bất chấp sự nổi tiếng, không đặc biệt thân thiện với người mới. Các trường hợp sử dụng là có thật, nhưng vẫn chưa sẵn sàng cho việc phổ biến rộng rãi. Và các vấn đề an ninh vẫn còn đó.  Chạy một agent AI tự trị với quyền truy cập shell, kiểm soát trình duyệt, và quản lý thông tin đăng nhập tạo ra các bề mặt tấn công mà các mô hình an ninh truyền thống không được thiết kế cho. Kinh tế của các hệ thống này—triển khai cục bộ, bộ nhớ liên tục, và các tác vụ chủ động—đẩy nhanh việc áp dụng hơn khả năng thích ứng của ngành công nghiệp về an ninh. Và các lừa đảo crypto vẫn còn đó, luôn chờ đợi cơ hội gây rối tiếp theo. Chỉ cần một sơ suất, một sai lầm, hoặc một khoảng trống. Chín giây, như đã rõ, là đủ.