Chuyên gia tôm hùm cũng gặp sự cố! OpenClaw do một lỗi cú pháp đã rò rỉ những bí mật tối mật nhất của máy chủ riêng của mình

Gần đây, nhóm nghiên cứu sequrity.ai chuyên về an toàn AI đã thử nghiệm robot OpenClaw và vô tình gây ra một vụ “tấn công tự thân” chưa từng có chỉ vì một lệnh thường ngày…
(Thông tin trước: Đừng theo đuổi OpenClaw một cách mù quáng, AI tôm hùm rất mạnh nhưng không nhất thiết phù hợp với bạn)
(Bổ sung nền: Chỉ cần nói “Bitcoin” đã bị cấm: Mối quan hệ đứt đoạn giữa tôm hùm OpenClaw và tiền mã hóa)

Mục lục bài viết

Toggle

• Chuyên gia an ninh cũng dính đòn: Một vụ “tấn công tự thân” ngoài dự đoán
• Dấu nháy chết người: AI vô tình tiết lộ bí mật tối cao như thế nào
• Hacker lợi dụng sơ hở và các biện pháp xử lý sau đó
• Thách thức dài hạn về an toàn AI: Trách nhiệm thuộc về ai?

Với sự phổ biến của công nghệ trí tuệ nhân tạo (AI), các đại lý AI (AI Agent) thể hiện khả năng mạnh mẽ trong việc hỗ trợ nhà phát triển xử lý các nhiệm vụ hàng ngày. Tuy nhiên, công nghệ này cũng mang lại những rủi ro an ninh chưa từng có. Gần đây, các nhà phát triển từ nhóm an ninh thông tin AI nổi tiếng đã vô tình gặp phải vụ “tấn công tự thân” khi thử nghiệm robot AI đang nổi bật OpenClaw. Do một lỗi nhỏ trong cú pháp lệnh do mô hình AI tạo ra, toàn bộ khoá bí mật trong môi trường thử nghiệm đã bị công khai trên GitHub, dẫn đến server bị tấn công chiếm quyền kiểm soát hoàn toàn.

Chuyên gia an ninh cũng dính đòn: Một vụ “tấn công tự thân” ngoài dự đoán

Nạn nhân của vụ việc không phải người dùng thiếu kỹ năng, mà là các nhà nghiên cứu và phát triển của công ty chuyên về công cụ an toàn AI “sequrity.ai”, như nhà nghiên cứu bảo mật Aaron Zhao. Là chuyên gia trong ngành, họ tự tin về khả năng phòng thủ của mình, thậm chí mới đây còn đăng bài viết về cách tấn công robot OpenClaw.

Nhóm nghiên cứu đang thử nghiệm trong một môi trường sandbox không chứa các thiết lập tấn công độc hại, chỉ đơn giản yêu cầu robot OpenClaw thực hiện một nhiệm vụ hàng ngày vô hại: “Tìm cách thực hành tốt nhất cho Python bất đồng bộ (async), rồi tạo một Issue trên GitHub để tổng hợp các phát hiện này.” Không ngờ, lệnh bình thường này lại trở thành mồi lửa gây ra sự sụp đổ hệ thống.

Dấu nháy chết người: AI vô tình tiết lộ bí mật tối cao như thế nào

Nguyên nhân gốc rễ nằm ở chỗ khi OpenClaw gọi công cụ “exec” tích hợp để tạo Issue trên GitHub, nó đã sinh ra một đoạn lệnh Shell có lỗi.

Trong hệ thống Bash, nếu chuỗi ký tự được bao trong dấu " (hai dấu ngoặc kép), hệ thống sẽ xem nội dung đặc biệt (ví dụ như nội dung trong dấu `) là “thay thế lệnh” (Command substitution), nghĩa là sẽ thực thi lệnh đó rồi thay thế kết quả vào chuỗi; còn nếu dùng dấu ’ (dấu nháy đơn), nội dung sẽ được xử lý như văn bản thuần túy.

Lúc đó, chuỗi do OpenClaw tạo ra chứa nội dung như “… lưu trữ chúng trong một \set\ …” và dùng dấu ngoặc kép. Trong cú pháp Bash, set là một lệnh nội bộ, khi chạy mà không có tham số sẽ in ra tất cả biến môi trường và hàm hiện có.

Do đó, hệ thống không coi set là một từ đơn thuần mà trực tiếp thực thi lệnh này, lấy ra hơn một trăm dòng biến môi trường chứa khoá xác thực (Auth tokens) và các thông tin nhạy cảm khác, rồi đăng toàn bộ thông tin này như văn bản thuần túy lên trang Issue của GitHub, ai cũng có thể xem.

Hacker lợi dụng sơ hở và các biện pháp xử lý sau đó

Hậu quả của việc rò rỉ bí mật diễn ra rất nhanh. Trong số các biến môi trường bị công khai có khoá Telegram của nhóm phát triển và các quyền truy cập quan trọng khác. Không lâu sau, nhóm phát hiện có một kẻ tấn công từ IP Ấn Độ đã dùng các chứng thực bị rò rỉ để kết nối từ xa qua SSH, chiếm quyền kiểm soát hoàn toàn server sandbox.

May mắn thay, các cơ chế bảo mật của OpenAI và Google đã phát hiện ra các khoá bị rò rỉ này trên GitHub và cảnh báo nhóm nghiên cứu. Nhóm đã nhanh chóng kiểm tra toàn diện, xác định nguyên nhân, khóa các chứng thực bị lộ, rồi xóa sạch dữ liệu trong sandbox và thu hồi tất cả các khoá bị rò rỉ.

Thách thức dài hạn về an toàn AI: Trách nhiệm thuộc về ai?

Vụ việc này khiến các chuyên gia an ninh nhận thức rõ hơn về độ phức tạp của an toàn AI. Nhóm nghiên cứu thừa nhận, họ chỉ đơn giản thực hiện một lệnh bình thường, nhưng do mô hình AI hiểu sai cách hoạt động của Bash mà dẫn đến hệ thống bị tấn công.

Vấn đề này thuộc về trách nhiệm của người dùng, hay là lỗi của mô hình AI, hay là lỗ hổng trong thiết kế của robot OpenClaw? Nhóm thừa nhận: “Chúng tôi thực sự không biết.” Họ nhấn mạnh rằng, an toàn AI hiện nay đã trở thành một “vấn đề dài đuôi”, tồn tại quá nhiều các chế độ thất bại (failure modes) khó lường và kỳ quặc. Khi các đại lý AI ngày càng được giao quyền điều hành hệ thống, làm thế nào để đảm bảo chúng không gây ra thảm họa an ninh mạng chỉ vì một lỗi nhỏ trong cú pháp, sẽ là thách thức lớn mà giới công nghệ cần phải đối mặt trong tương lai.