OpenClaw tiết lộ chuỗi lỗ hổng “Claw Chain”: Nguy cơ nghiêm trọng đối với thông tin xác thực và quyền truy cập

Các nhà nghiên cứu bảo mật vừa công bố một nhóm lỗ hổng dây chuyền ảnh hưởng đến khung AI mã nguồn mở OpenClaw, được gọi chung là “Claw Chain”. Bốn lỗ hổng này có thể được tin tặc khai thác nối tiếp để thực hiện toàn bộ chuỗi tấn công từ xâm nhập ban đầu, đánh cắp thông tin xác thực, leo thang đặc quyền đến cài backdoor dai dẳng. Hiện tại, nhóm duy trì OpenClaw đã nhận được báo cáo từ công ty an ninh dữ liệu Cyera và đã hoàn tất việc phát hành bản vá cho tất cả các lỗ hổng.

Bốn lỗ hổng được phát hiện lần này có mã số lần lượt là CVE-2026-44112, CVE-2026-44115, CVE-2026-44118 và CVE-2026-44113. Trong đó, CVE-2026-44118 (CVSS 7.8) là lỗ hổng leo thang đặc quyền do xác thực phiên không đúng cách; CVE-2026-44113 (CVSS 7.8) là lỗ hổng TOCTOU (kiểm tra thời gian và thời điểm sử dụng), cho phép tin tặc truy cập trái phép vào các tệp cấu hình hệ thống, khóa API, thông tin xác thực và dữ liệu nhạy cảm khác. Hai lỗ hổng còn lại liên quan đến rò rỉ biến môi trường và rủi ro thực thi mã, khi kết hợp có thể phá vỡ ranh giới bảo mật của tác nhân AI, đe dọa các hệ thống nội bộ, môi trường đám mây và ứng dụng SaaS được kết nối.

Là công cụ tác nhân AI phát triển nhanh nhất trong thời gian gần đây, OpenClaw đã được nhiều nhà phát triển sử dụng để triển khai trợ lý AI tự động. Sự cố chuỗi lỗ hổng “Claw Chain” lần này một lần nữa cảnh báo: Khi doanh nghiệp nhanh chóng tích hợp các tác nhân AI vào môi trường nghiệp vụ nhạy cảm, cần đồng thời thiết lập cơ chế kiểm duyệt bảo mật và kiểm soát truy cập chặt chẽ, nếu không sẽ phải đối mặt với hậu quả nghiêm trọng từ rò rỉ dữ liệu và mất kiểm soát quyền. Các chuyên gia bảo mật khuyến nghị người dùng nên nâng cấp ngay lên phiên bản vá mới nhất và đánh giá các bề mặt tấn công tương tự trong quá trình triển khai của mình.