Trong vài tuần gần đây, một cái tên mới đang khiến cộng đồng công nghệ vừa phấn khích vừa lo ngại: OpenClaw - một tác nhân trí tuệ nhân tạo mã nguồn mở có khả năng tự vận hành trên máy tính của người dùng.
Không giống các chatbot quen thuộc như Claude hay các sản phẩm từ OpenAI, OpenClaw không chỉ dừng lại ở việc trả lời câu hỏi. Nó có thể gửi email, đọc tin nhắn, đặt vé, truy cập file, thậm chí thực thi lệnh hệ thống và gần như thay bạn xử lý toàn bộ “đời sống số”.
Nghe giống một trợ lý hoàn hảo nhưng với giới an ninh mạng, đó lại là một tín hiệu đáng lo.
Từ tiện lợi đến thảm họa: Khi AI có quyền đọc toàn bộ dữ liệu của bạn
Sự khác biệt cốt lõi của OpenClaw nằm ở một bước tiến quan trọng của AI: từ phản hồi sang hành động.
Theo nhận định của tờ Fortune, những tác vụ trợ giúp cho con người của tác nhân AI bao giờ cũng kèm những rủi ro khác như: rò rỉ dữ liệu, thực thi các lệnh ngoài ý muốn hoặc bị tin tặc chiếm quyền điều khiển một cách âm thầm, thông qua phần mềm độc hại hoặc thông qua các cuộc tấn công "tiêm lệnh trực tiếp" (trong đó ai đó đưa các chỉ thị độc hại cho tác nhân AI vào dữ liệu mà tác nhân AI có thể sử dụng).
Sự khác biệt cốt lõi của OpenClaw nằm ở một bước tiến quan trọng của AI: từ phản hồi sang hành động.
OpenClaw hoạt động theo mô hình: mục tiêu, lập kế hoạch, hành động, tự điều chỉnh. Đây chính là xu hướng mà nhiều phòng thí nghiệm AI lớn như Google DeepMind hay các nhóm nghiên cứu tại Stanford University đang theo đuổi, thường được gọi là “agentic AI” hay AI có khả năng tự hành.
Tuy nhiên, OpenClaw đi xa hơn một bước: nó gần như không có rào cản, cho phép tùy biến gần như không giới hạn. Theo các chuyên gia an ninh mạng, điều khiến OpenClaw trở nên hấp dẫn chính là sự tự do gần như tuyệt đối.
Người dùng có thể cho AI truy cập file cá nhân, kết nối email, lịch, trình duyệt, cài đặt các “skills” (plugin) để thực hiện hành động.
Chính vì vậy, các chuyên gia cảnh báo rằng, OpenClaw không tạo ra rủi ro hoàn toàn mới mà khuếch đại các rủi ro cũ lên một cấp độ khác.
“Quy tắc duy nhất là nó không có quy tắc nào cả,” Ben Seri, đồng sáng lập kiêm CTO của Zafran Security, công ty chuyên cung cấp giải pháp quản lý rủi ro cho các doanh nghiệp, cho biết. “Đó là một phần của cuộc chơi.” Nhưng cuộc chơi đó có thể biến thành một cơn ác mộng về an ninh, bởi vì các quy tắc và giới hạn là cốt lõi để ngăn chặn tin tặc và rò rỉ thông tin.
Các mối lo ngại cốt lõi về bảo mật và an toàn dữ liệu
Colin Shea-Blymyer, nghiên cứu viên tại Trung tâm An ninh và Công nghệ Mới nổi (CSET) của Đại học Georgetown, nơi ông làm việc trong Dự án CyberAI, cho biết các vấn đề an ninh khá quen thuộc.
Việc cấu hình sai quyền hạn, ai hoặc cái gì được phép làm gì, có nghĩa là con người có thể vô tình cấp cho OpenClaw nhiều quyền hơn mức họ nhận ra, và kẻ tấn công có thể lợi dụng điều đó.
Ví dụ, trong OpenClaw, phần lớn rủi ro đến từ những gì các nhà phát triển gọi là “kỹ năng”, về cơ bản là các ứng dụng hoặc plugin mà tác nhân AI có thể sử dụng để thực hiện các hành động như truy cập tệp, duyệt web hoặc chạy lệnh.
Điểm khác biệt là, không giống như một ứng dụng thông thường, OpenClaw tự quyết định khi nào sử dụng các kỹ năng này và cách kết hợp chúng với nhau, có nghĩa là một lỗi nhỏ về quyền truy cập có thể nhanh chóng leo thang thành vấn đề nghiêm trọng hơn nhiều.
“Hãy tưởng tượng bạn dùng nó để truy cập trang đặt chỗ của một nhà hàng và nó cũng có quyền truy cập vào lịch trình của bạn với đủ loại thông tin cá nhân,” ông Colin Shea-Blymyer nói. “Hoặc nó nhầm website rồi truy cập vào một phần mềm độc hại rồi bị cài đăt virus thì sao?".
Tờ Techradar, đầu tháng 3/2026, cũng đã đưa ra lời cảnh báo về việc tin tặc khai thác lỗ hổng OpenClaw để phát tán phần mềm độc hại thông qua GitHub. Open Claw hiện là một trong những dự án AI nổi bật nhất trên GitHub, nền tảng đám mây lớn nhất thế giới dành cho lập trình viên. Dự án này đã nhận về hơn 100.000 lượt đánh dấu sao trên GitHub.
Tuy nhiên, trên GitHub cũng có những biến thể giả mạo triển khai nhiều họ phần mềm độc hại khác nhau cho nạn nhân và trong một báo cáo mới, các nhà nghiên cứu bảo mật Huntress cho biết, phần mềm độc hại chính là Vidar, một loại phần mềm đánh cắp thông tin thu thập dữ liệu nhạy cảm như thông tin đăng nhập và thông tin người dùng từ các ứng dụng như Telegram. Nó được phát tán thông qua các trình tải thực thi phần mềm đánh cắp trực tiếp trong bộ nhớ.
Trang tin Yahoo! Tech thậm chí đã liệt kê một số lo ngại về vấn đề bảo mật và an toàn dữ liệu khi người dùng sử dụng OpenClaw cụ thể:
-Là cơ hội cho các vụ lừa đảo: Do dự án được phổ biến rộng rãi, các vụ lừa đảo liên quan đến kho lưu trữ giả mạo và tiền điện tử đã xuất hiện.
-Kiểm soát hệ thống: Nếu bạn giao toàn quyền kiểm soát hệ thống cho một trợ lý AI có khả năng chủ động thực hiện các tác vụ thay mặt bạn, bạn đang tạo ra những con đường tấn công mới có thể bị các tác nhân đe dọa khai thác, cho dù thông qua phần mềm độc hại, các tích hợp và kỹ năng độc hại, hay thông qua các lời nhắc nhằm chiếm đoạt tài khoản hoặc máy tính của bạn.
-Tấn công chèn mã độc: Nguy cơ tấn công chèn mã độc không chỉ giới hạn ở OpenClaw mà còn là mối lo ngại phổ biến trong cộng đồng AI. Các chỉ thị độc hại được ẩn giấu trong mã nguồn của AI, chẳng hạn như trên các trang web hoặc trong URL, có thể khiến nó thực hiện các tác vụ độc hại hoặc đánh cắp dữ liệu.
-Lỗi cấu hình: Các nhà nghiên cứu đã chỉ ra những trường hợp công khai bị lộ thông tin đăng nhập và khóa API do cài đặt không đúng cách.
-Ảo giác: Trí tuệ nhân tạo không phải lúc nào cũng chính xác. Bot có thể bị ảo giác, cung cấp thông tin sai lệch và tuyên bố đã thực hiện một nhiệm vụ trong khi thực tế là chưa. Hệ thống của OpenClaw hiện không được bảo vệ khỏi rủi ro này.
Theo Fortune, TechYahoo, Techradar
.png "Phát hiện hàng loạt robot cường độ cao trong các nhà máy, có thể đi bộ 50.000 bước/ngày")
