Sự lan rộng nhanh chóng của OpenClaw đang phơi bày những lỗ hổng bảo mật nghiêm trọng khi các hệ thống AI có khả năng hành động tự động được kết nối trực tiếp với hạ tầng doanh nghiệp.
Những lo ngại về bảo mật liên quan đến các hệ thống agentic AI – tức AI có khả năng tự thực hiện hành động – đang gia tăng khi OpenClaw nhanh chóng lan rộng trong cộng đồng công nghệ. Không chỉ là câu chuyện của một công cụ mã nguồn mở, OpenClaw đang trở thành ví dụ rõ ràng cho những rủi ro mà doanh nghiệp có thể đối mặt khi các hệ thống AI tự động được triển khai mà chưa có cơ chế kiểm soát phù hợp.
Tại Trung Quốc, chính quyền đã yêu cầu các ngân hàng nhà nước và nhiều cơ quan công quyền không cài đặt OpenClaw trên thiết bị làm việc vì lo ngại an ninh. Trong khi đó, Meta cũng đưa ra cảnh báo nội bộ rằng nhân viên không được phép cài đặt công cụ này trên máy tính công ty, thậm chí có thể đối mặt với nguy cơ bị sa thải nếu vi phạm.
OpenClaw được thiết kế như một AI agent đa năng, có thể hỗ trợ người dùng đặt vé máy bay, quản lý email hay soạn thảo báo cáo. Tuy nhiên, chính khả năng tự động này lại khiến nó trở thành phép thử thực tế cho một câu hỏi mà nhiều doanh nghiệp công nghệ đã âm thầm lo ngại: điều gì sẽ xảy ra khi một hệ thống AI có thể tự hành được kết nối trực tiếp với hạ tầng doanh nghiệp mà thiếu các “hàng rào” bảo mật?
Cho đến nay, câu trả lời vẫn khá hỗn loạn.
Theo nhóm nghiên cứu STRIKE của SecurityScorecard, đã có hơn 135.000 phiên bản OpenClaw được phát hiện đang hoạt động công khai trên Internet tại 82 quốc gia, trong đó hơn 15.000 hệ thống tồn tại lỗ hổng cho phép thực thi mã từ xa. Một phân tích khác cũng cho thấy khoảng 12% plugin trong kho kỹ năng ClawHub – chợ tiện ích dành cho OpenClaw – đã bị cài mã độc. Một số plugin thậm chí có thể cài đặt keylogger trên Windows hoặc phần mềm đánh cắp dữ liệu trên macOS.
Đã có trường hợp người dùng phản ánh rằng AI agent này “mất kiểm soát” sau khi được cấp quyền truy cập iMessage và gửi hàng trăm tin nhắn tự động.
Phản ứng từ các tổ chức lớn diễn ra khá nhanh. Ngoài các biện pháp hạn chế từ phía Trung Quốc, đội nghiên cứu bảo mật của Microsoft Defender cũng khuyến cáo OpenClaw nên được xem như một dạng mã thực thi không đáng tin cậy có quyền truy cập lâu dài, và không nên chạy trên các máy trạm cá nhân hoặc hệ thống doanh nghiệp thông thường.
Rủi ro mang tính cấu trúc của agentic AI
Các chuyên gia cho rằng vấn đề không chỉ nằm ở lỗi phần mềm có thể vá bằng bản cập nhật. Rủi ro thực sự xuất phát từ chính cách các hệ thống AI tự hành được thiết kế.
Nhiều nhà nghiên cứu mô tả tình huống này là “bộ ba nguy hiểm”:
- AI có quyền truy cập dữ liệu riêng tư
- Có khả năng giao tiếp ra bên ngoài
- Có thể tiếp nhận nội dung từ các nguồn không đáng tin cậy
OpenClaw hội tụ cả ba yếu tố này. Theo Colin Shea-Blymyer, nhà nghiên cứu tại Trung tâm An ninh và Công nghệ Mới nổi của Đại học Georgetown, càng cấp nhiều quyền cho các AI agent thì chúng càng hữu ích, nhưng đồng thời cũng càng nguy hiểm.
CrowdStrike cảnh báo rằng nếu nhân viên cài OpenClaw trên máy tính kết nối với hệ thống doanh nghiệp và cấu hình sai, công cụ này có thể bị biến thành một “cửa hậu AI” cho phép kẻ tấn công điều khiển từ xa. Điều đáng lo là các công cụ bảo mật truyền thống gần như không được thiết kế để phát hiện loại rủi ro này.
Các hệ thống bảo mật endpoint chỉ thấy tiến trình đang chạy nhưng không hiểu hành vi của AI. Công cụ giám sát mạng chỉ nhìn thấy các cuộc gọi API mà không thể phân biệt đâu là tự động hóa hợp lệ hay dấu hiệu tấn công. Trong khi đó, các hệ thống quản lý danh tính chỉ ghi nhận quyền truy cập OAuth mà không coi AI agent là yếu tố bất thường.
Một báo cáo của Gartner thậm chí gọi OpenClaw là “bản xem trước nguy hiểm của agentic AI”, khi công cụ này mang lại tiện ích lớn nhưng đồng thời tồn tại nhiều rủi ro mặc định như lưu trữ thông tin đăng nhập dưới dạng văn bản thuần.
Bài học cho doanh nghiệp
Làn sóng hạn chế OpenClaw có thể khiến nhiều người nghĩ rằng đây chỉ là vấn đề của riêng một công cụ. Tuy nhiên, thực tế quan trọng hơn là doanh nghiệp hiện chưa có khung quản trị rõ ràng cho agentic AI, trong khi các công cụ dạng này đang xuất hiện ngày càng nhanh.
Tại châu Á, đặc biệt ở Đông Nam Á, nhiều doanh nghiệp đang rất quan tâm đến việc ứng dụng AI để nâng cao năng suất, nhưng chính sách bảo mật dành riêng cho AI vẫn chưa hoàn thiện.
Một vấn đề khác là “shadow AI” – khi nhân viên tự ý kết nối các công cụ AI cá nhân với hệ thống công ty như Slack, email hay dữ liệu nội bộ mà không thông báo cho bộ phận an ninh. Điều này khiến việc kiểm soát càng trở nên khó khăn.
Nhà phát triển OpenClaw, Peter Steinberger, đã phản ứng khá nhanh khi các lỗ hổng được phát hiện, phát hành hơn 40 bản sửa lỗi trong một lần cập nhật và khắc phục sự cố nghiêm trọng chỉ trong vòng 24 giờ. Tuy nhiên, các chuyên gia bảo mật cho rằng việc vá lỗi không giải quyết được vấn đề cốt lõi: AI tự hành đang tiến rất nhanh vào các quy trình quan trọng của doanh nghiệp, trong khi các cơ chế bảo vệ vẫn chưa theo kịp.
Vì vậy, câu hỏi quan trọng với các tổ chức hiện nay không chỉ là có nên cho phép sử dụng OpenClaw hay không. Điều đáng lo hơn là liệu doanh nghiệp có thực sự biết những AI agent nào đang chạy trong hạ tầng của mình và chúng đang được cấp quyền đến mức nào hay chưa.
