OpenClaw lan rộng nhanh chóng vì nó hữu ích. Cũng vì lý do đó mà nó tiềm ẩn nhiều rủi ro

OpenClaw kết nối các mô hình ngôn ngữ trực tiếp với nơi diễn ra công việc: hộp thư đến, trò chuyện, tệp, lịch, trình duyệt và các lệnh hệ thống. Khi trợ lý chuyển từ việc trả lời câu hỏi sang thực hiện hành động, mô hình bảo mật sẽ thay đổi. Rủi ro cốt lõi không phải là phản hồi sai, mà là một thao tác thực sự được thực thi với các đặc quyền thực sự dựa trên đầu vào có thể bị người khác tác động.

OpenClaw là gì?

OpenClaw là một trợ lý ảo mã nguồn mở chạy trên thiết bị của người dùng hoặc máy chủ và tương tác thông qua các nền tảng nhắn tin phổ biến trong doanh nghiệp và người tiêu dùng. Nó tích hợp với các công cụ bên ngoài để có thể thực hiện các hành động, chứ không chỉ tạo ra văn bản.

Nó từng gây chú ý dưới những tên gọi trước đó, bao gồm ClawdBot và MoltBot. Việc đổi tên nhanh chóng cũng dẫn đến sự nhầm lẫn và nguy cơ mạo danh, một hiện tượng phổ biến khi các dự án phần mềm mã nguồn mở được người dùng đón nhận nhanh chóng.

Vì sao OpenClaw lại quan trọng đối với bảo mật doanh nghiệp?

  • Việc áp dụng OpenClaw thường diễn ra ngoài phạm vi đánh giá bảo mật. Các bản cài đặt xuất hiện trên thiết bị cá nhân, máy chủ hoặc máy tính phát triển và được kết nối với tài khoản công việc. Điều này tạo ra “môi trường CNTT ngầm” với rủi ro cao hơn nhiều vì tác nhân này có thể tự động hoạt động.
  • Việc thực thi là điểm uốn. Khi một tác nhân có thể gọi các công cụ với quyền truy cập ghi, mỗi thông điệp đều trở thành một tác nhân kích hoạt tiềm năng, và mỗi tác nhân kích hoạt đều có thể dẫn đến sự thay đổi trạng thái trong một hệ thống thực tế.
  • Các đặc vụ không chỉ dừng lại ở việc tìm câu trả lời. Họ đọc. Họ quyết định. Họ hành động.

Mô hình mối đe dọa OpenClaw

Thực thi dựa trên tin nhắn: Tác nhân ẩn mình trong hộp thư đến và hệ thống trò chuyện, nơi lưu trữ các phê duyệt, liên kết và thông tin bí mật. Nếu tác nhân đọc được nội dung không đáng tin cậy có chứa mã chèn lời nhắc, nó có thể bị xâm nhập và thực hiện các hành động gây hại. 

Quyền truy cập công cụ với quyền người dùng: Trình quản lý tác nhân kiểm soát lịch, trình duyệt, hệ thống tệp, trình thông dịch lệnh và ứng dụng SaaS với quyền ghi và thường kế thừa các đặc quyền tương tự như người dùng cài đặt.

Các bề mặt điều khiển liên tục và dễ bị tấn công: Quá trình cài đặt thiết lập một dịch vụ cổng luôn hoạt động, do đó tạo ra một đường dẫn truy cập luôn mở cần được bảo mật. Hầu hết người dùng không quen thuộc với các bước bảo mật đúng cách và cổng có thể bị lộ và không được bảo mật. Điều này đã và đang xảy ra trên quy mô lớn, một số lượng lớn các cổng dễ bị tấn công đang được sử dụng rộng rãi.

Các rủi ro bảo mật thường gặp của OpenClaw

  • Tấn công chèn mã độc thông qua nội dung thường ngày: kẻ tấn công có thể cài đặt các chỉ thị vào email, tin nhắn hoặc nội dung liên kết mà mã độc thu thập được. Rủi ro càng tăng khi mã độc trở nên hữu ích hơn. 
  • Rò rỉ dữ liệu thông qua các kênh hợp pháp: Kẻ tấn công đọc các tập tin và chuyển tiếp nội dung thông qua các giao diện trò chuyện hoặc email, trông giống như hoạt động bình thường.
  • Quyền hạn ngày càng tăng khi người dùng kết nối nhiều công cụ hơn, số lượng token tích lũy dần. Quyền hạn mở rộng, và không ai xác thực lại phạm vi ảnh hưởng.
  • Các con đường xâm nhập điểm cuối và máy chủ: Nếu tác nhân chạy cục bộ với quyền truy cập rộng, sự xâm nhập có thể dẫn đến xâm nhập máy chủ. Zenity Labs đã chỉ ra việc thiếu cơ chế hộp cát và kiểm soát quyền theo mặc định là một yếu tố rủi ro chính.
  • Việc mạo danh và sao chép, đổi thương hiệu và tạo các phiên bản sao chép gây nhầm lẫn cho người dùng. Kẻ tấn công lợi dụng lòng tin vào các công cụ đại lý đang thịnh hành.
  • OpenClaw là triệu chứng, không phải là nguyên nhân gây bệnh. OpenClaw không tạo ra nguy cơ này. Nó chỉ làm lộ ra nguy cơ đó.

Cùng một kiểu lỗi này xuất hiện trên tất cả các trợ lý ảo

  • Các đại lý hành động thay mặt người dùng.
  • Các tác nhân kết nối các công cụ trên nhiều hệ thống.
  • Các tác nhân lưu trữ bộ nhớ và ngữ cảnh.
  • Các tác nhân kế thừa quyền mà không có quyền kiểm soát vòng đời.
  • Các tác nhân làm mờ ranh giới giữa ý định và hành động.

Các nhóm bảo mật sẽ thất bại khi họ coi các tác nhân như chatbot. Các nhóm bảo mật sẽ thắng khi họ coi các tác nhân là những thực thể có đường dẫn thực thi.

OpenClaw đã nhanh chóng vạch trần mô hình này. Các tiện ích mở rộng Copilot, các tác nhân nội bộ và quy trình làm việc ít mã lập trình lặp lại mô hình đó trên quy mô lớn.

Bằng chứng từ các vụ lạm dụng trong thế giới thực

Nghiên cứu của ClawdBot ghi lại cách các trợ lý ảo bị ép buộc thông qua luồng tin nhắn và quyền truy cập công cụ. Những lỗ hổng nhỏ về khả năng quan sát có thể trở thành rủi ro khi thực thi.

Những phát hiện này áp dụng cho tất cả các trợ lý ảo. Việc thực thi theo yêu cầu và các hành động liên tiếp tạo ra rủi ro ở bất cứ nơi nào trợ lý ảo hoạt động.

Sử dụng danh sách kiểm tra này để đánh giá mức độ tiếp xúc với OpenClaw và trợ lý ảo

1/. Hàng tồn kho của đại lý

Xác định các tác nhân, vị trí thời gian chạy và các bề mặt thông báo được kết nối.

2/. Quyền sở hữu và trách nhiệm giải trình

    1. Chỉ định người chịu trách nhiệm cho mỗi kết nối giữa tác nhân và công cụ.
    2. Theo dõi xem tác nhân đang hoạt động dưới danh tính cá nhân hoặc dịch vụ nào.

3/. Quyền truy cập công cụ tối thiểu

    1. Nên sử dụng các trình kết nối chỉ đọc khi có thể.
    2. Phân tách “ngữ cảnh đọc” khỏi “hành động ghi”. Nếu một tác nhân cần ghi dữ liệu, hãy yêu cầu danh sách cho phép rõ ràng các hành động hoặc mục tiêu.

4/. Đặt ra những giới hạn rõ ràng cho việc thực thi

    1. Xác định những công cụ mà tác nhân có thể gọi và những tham số nào được cho phép.
    2. Hạn chế phạm vi mà tác nhân có thể gửi dữ liệu, đặc biệt là các địa chỉ tin nhắn và email bên ngoài.
    3. Hãy thiết lập các biện pháp bảo vệ cho các hành động có rủi ro cao: xuất tập tin, chia sẻ liên kết, tạo mã thông báo OAuth, thay đổi quyền truy cập.

5/. Khả năng hiển thị ở cấp độ bậc thang

    1. Dữ liệu đầu vào nào đã kích hoạt tác nhân?
    2. Công cụ nào đã được sử dụng?
    3. Những lập luận nào đã được đưa ra?
    4. Kết quả mà công cụ trả về
    5. Hành động nào đã được thực hiện?

6/. Áp dụng chính sách trong quá trình thực thi, chứ không chỉ trong quá trình cấu hình

    1. Đánh giá các hành động của tác nhân tại thời điểm thực thi, chứ không chỉ tại thời điểm triển khai.
    2. Chặn hoặc yêu cầu phê duyệt đối với các hành động vi phạm chính sách, ngay cả khi người đại diện được ủy quyền hợp lệ.
    3. Áp dụng các quy tắc về việc di chuyển dữ liệu, sử dụng công cụ và ngữ cảnh đích (ví dụ: nội bộ so với bên ngoài).
    4. Giám sát liên tục sự thay đổi hành vi của tác nhân thông qua các lời nhắc, bộ nhớ, mô hình và công cụ.
    5. Hãy coi các vi phạm chính sách là sự kiện bảo mật, chứ không phải lỗi ứng dụng.

Lập bản đồ các tác nhân, quyền sở hữu, quyền hạn, tích hợp, mức sử dụng bộ nhớ và đường dẫn thực thi. Thực thi chính sách ở lớp tác nhân và ngăn chặn các hành vi rủi ro trước khi xảy ra thiệt hại.

AI Agent, Blog, OpenClaw

Bạn có thể cũng thích những nội dung này!