-
09/04/2020
-
141
-
1.956 bài viết
5 lỗ hổng trong OpenClaw cho phép chiếm quyền AI agent trên nhiều nền tảng nhắn tin
Các nhà nghiên cứu an ninh mạng vừa phát hiện 5 lỗ hổng zero-day trong OpenClaw, nền tảng mã nguồn mở được sử dụng để kết nối các AI agent với những dịch vụ nhắn tin phổ biến như Slack, Discord, Microsoft Teams, Matrix và Zalo. Các lỗ hổng này có thể cho phép kẻ tấn công vượt qua cơ chế kiểm soát truy cập, giả mạo người dùng được tin cậy và giành quyền tương tác với các AI agent đang nắm giữ quyền truy cập vào dữ liệu hoặc hệ thống nội bộ.
Đáng chú ý, đây không phải là những lỗ hổng được tạo ra bởi các đoạn mã độc lập. Theo các nhà nghiên cứu, các phát hiện mới đều bắt nguồn từ cùng một nguyên nhân gốc liên quan đến cơ chế xử lý danh tính của OpenClaw. Vấn đề này từng được phát hiện và khắc phục trong thành phần tích hợp Telegram, nhưng mẫu thiết kế không an toàn tương tự vẫn tiếp tục xuất hiện ở nhiều mô-đun khác, cho thấy quá trình vá lỗi chưa được triển khai đồng bộ trên toàn bộ hệ sinh thái OpenClaw.
OpenClaw hoạt động dựa trên cơ chế allowlist nhằm xác định những người dùng nào được phép gửi lệnh tới AI agent. Trong môi trường doanh nghiệp, các agent này có thể truy cập dữ liệu nhạy cảm, gọi API nội bộ hoặc thực hiện các tác vụ tự động hóa với quyền hạn tương đối cao. Vì vậy, độ tin cậy của cơ chế xác thực danh tính đóng vai trò then chốt đối với an toàn của toàn bộ hệ thống.
Theo phân tích của các nhà nghiên cứu, điểm yếu nằm ở cách OpenClaw xử lý danh sách người dùng được tin cậy trong quá trình khởi động dịch vụ. Mặc dù các cơ chế kiểm tra khi hệ thống vận hành sử dụng định danh cố định của người dùng, một số thành phần lại thực hiện việc phân giải danh tính ban đầu dựa trên các thuộc tính có thể thay đổi như username hoặc display name.
Chính sự khác biệt này đã tạo ra cơ hội cho kẻ tấn công. khi đổi tên tài khoản của mình thành tên của một người dùng đang nằm trong allowlist trước thời điểm dịch vụ khởi động lại, đối tượng có thể khiến OpenClaw ánh xạ nhầm danh tính. Sau khi quá trình khởi tạo hoàn tất, ID của tài khoản giả mạo sẽ được đưa vào danh sách tin cậy, trong khi người dùng hợp pháp bị loại khỏi quyền truy cập mà không nhận được bất kỳ cảnh báo nào.
Một khi đã chiếm được quyền tương tác với AI agent, kẻ tấn công có thể lợi dụng các đặc quyền sẵn có của tác tử để truy xuất dữ liệu, gửi lệnh trái phép hoặc mở rộng phạm vi xâm nhập sang những hệ thống được kết nối phía sau. Đây cũng là lý do các nhà nghiên cứu đánh giá lỗ hổng thuộc nhóm CWE-639, lớp lỗi cho phép vượt qua cơ chế phân quyền thông qua các định danh do người dùng kiểm soát.
Chuỗi lỗ hổng được phát hiện nhờ agentgg, công cụ phân tích mã nguồn ứng dụng AI có khả năng xây dựng các bộ quy tắc phát hiện dựa trên dữ liệu của những sự cố bảo mật trước đó. Bằng cách truy tìm các mẫu lỗi từng xuất hiện trong OpenClaw, công cụ đã xác định được cùng một điểm yếu đang lặp lại ở nhiều thành phần khác nhau của dự án.
Để khắc phục vấn đề, nhóm phát triển OpenClaw đã cập nhật cơ chế xử lý allowlist trên các thành phần bị ảnh hưởng. Các bản vá mới buộc hệ thống thực hiện đối sánh dựa trên ID người dùng cố định thay vì các thuộc tính có thể bị thay đổi bởi người dùng cuối. Cách tiếp cận này loại bỏ khả năng một tài khoản giả mạo được ánh xạ nhầm vào danh sách tin cậy trong quá trình khởi tạo dịch vụ. Bên cạnh đó, các chức năng phân giải danh tính dựa trên tên hiển thị hiện chỉ được kích hoạt thông qua các tùy chọn cấu hình riêng nhằm hạn chế nguy cơ tái diễn cùng một lớp lỗ hổng trong tương lai. Các tổ chức đang sử dụng OpenClaw cần rà soát và triển khai bản cập nhật mới nhất để giảm thiểu rủi ro bị khai thác.