CoinFeed
Đăng nhập
Bitcoin
Bitcoin·All

lúc 13:11 31 tháng 3, 2026

CertiK: AI như OpenClaw có nguy cơ rút sạch ví tiền điện tử

CertiK: AI như OpenClaw có nguy cơ rút sạch ví tiền điện tử
Quick Take
  • CertiK khuyến cáo người dùng phổ thông không nên cài đặt OpenClaw do những rủi ro bảo mật nghiêm trọng có thể dẫn đến mất tài sản tiền điện tử.
  • Dù sở hữu hơn 300.000 sao trên GitHub2 triệu người dùng hàng tháng, nền tảng này đang gánh khoản "nợ bảo mật" khổng lồ.
  • Các nhà nghiên cứu đã phát hiện 135.000 phiên bản OpenClaw tiếp xúc với internet, trong đó hơn 15.000 phiên bản có lỗ hổng thực thi mã từ xa (RCE).

Rủi ro từ sự tự trị của AI

Theo CertiK, việc tích hợp các trợ lý AI như OpenClaw — một tác nhân tự lưu trữ có khả năng quản lý tin nhắn, email và tệp tin — đang tạo ra các lỗ hổng cho phép thực hiện hành động trái phép và xâm nhập hệ thống. Mặc dù ra mắt vào tháng 11 năm 2025 và nhanh chóng phổ biến, OpenClaw đã trở thành mục tiêu hàng đầu cho các cuộc tấn công chuỗi cung ứng. Một nghiên cứu của McKinsey cho thấy 62% tổ chức đang thử nghiệm các tác nhân AI, nhưng vấn đề bảo mật thường bị bỏ qua.

OpenClaw hoạt động như một cầu nối giữa dữ liệu đầu vào bên ngoài và hệ thống cục bộ, dẫn đến các vectơ tấn công như chiếm quyền điều khiển cổng cục bộ (local gateway hijacking). Nền tảng này đã ghi nhận hơn 280 cảnh báo bảo mật trên GitHub100 lỗ hổng bảo mật phổ biến (CVE).

Mối đe dọa từ các "Kỹ năng độc hại"

Khác với phần mềm độc hại truyền thống, các "kỹ năng độc hại" có thể điều khiển hành vi của AI thông qua ngôn ngữ tự nhiên, khiến các công cụ quét thông thường khó phát hiện. Những kẻ tấn công đã cài cắm các kỹ năng này vào nhiều danh mục quan trọng như:

  • Công cụ theo dõi ví PhantomMetaMask
  • Tích hợp Google Workspace và công cụ Polymarket
  • Trình tìm kiếm ví nội bộ

Mục tiêu chính của chúng là tấn công đồng loạt các tiện ích mở rộng ví trên trình duyệt như Trust Wallet, Coinbase Wallet, và OKX Wallet. Các chuyên gia nhận định kỹ thuật này có sự trùng lặp lớn với các phương thức trộm cắp tiền điện tử phổ biến như lừa đảo (phishing) và kỹ thuật xã hội.

Phản ứng của ngành và khuyến nghị an toàn

Tại sự kiện ClawCon diễn ra ở Tokyo, người sáng lập OpenClawPeter Steinberg (người vừa gia nhập OpenAI) cho biết đội ngũ đang nỗ lực cải thiện tính bảo mật. Tuy nhiên, đầu tháng này, OX Security đã báo cáo về một chiến dịch lừa đảo sử dụng token "CLAW" giả mạo để lừa các nhà phát triển kết nối ví.

CertiK khuyên những người không phải là chuyên gia bảo mật hoặc lập trình viên dày dạn kinh nghiệm nên đợi các phiên bản ổn định hơn thay vì cài đặt OpenClaw vào lúc này. Để đối phó với các rủi ro tương tự, công ty bảo mật SlowMist cũng đã giới thiệu một khung bảo mật vào tháng 3, được ví như "pháo đài kỹ thuật số" cho các hệ thống AI tự trị xử lý tài sản on-chain.

Phản ứng thị trường thế nào?

0%Long/Short0%

commentCount

commentLogin

commentEmpty

commentEmptySubtitle