Nhóm CAICT, Đại học Giao thông Thượng Hải và Đại học Nam Kinh phát hiện lỗ hổng tiêm lệnh do LLM điều khiển trong mô-đun bash-tools của OpenClaw, có thể bị khai thác để thực thi mã từ xa và đánh cắp dữ liệu nhạy cảm trên máy chủ.
Trong một cuộc kiểm toán bảo mật, lỗ hổng được xác định xuất phát từ việc hệ thống không escape nghiêm ngặt các đối số dòng lệnh do LLM tạo ra, khiến kẻ tấn công có thể dùng prompt đánh lừa để vượt qua cơ chế phòng thủ dựa trên biểu thức chính quy.
- OpenClaw bash-tools có lỗ hổng tiêm lệnh do LLM tạo tham số.
- Có thể vượt regex bằng prompt đánh lừa để RCE và đánh cắp dữ liệu.
- Đã xác minh tấn công và gửi khuyến nghị khắc phục tới CAIVD và GitHub.
Lỗ hổng hoạt động như thế nào
Lỗ hổng nằm ở bash-tools của OpenClaw: hệ thống không escape chặt chẽ các đối số dòng lệnh do LLM sinh ra, tạo điều kiện cho tiêm lệnh.
Nhóm nghiên cứu cho biết kẻ tấn công có thể dùng các prompt mang tính đánh lừa để vượt qua lớp phòng thủ dựa trên biểu thức chính quy. Khi vượt qua được, kịch bản tấn công có thể dẫn đến thực thi mã từ xa trên máy nạn nhân và truy xuất, đánh cắp dữ liệu nhạy cảm lưu trên máy chủ.
Đây là lỗ hổng rủi ro cao vì liên quan trực tiếp đến chuỗi xử lý LLM → tham số dòng lệnh → thực thi trên máy. Nếu quy trình escape/khử nguy hiểm không đủ nghiêm ngặt, lớp kiểm tra dạng regex có thể bị né tránh, khiến kiểm soát đầu vào không còn hiệu lực trong một số tình huống prompt phức tạp.
Xác minh và xử lý công bố có trách nhiệm
Nhóm CAICT, Đại học Giao thông Thượng Hải và Đại học Nam Kinh đã hoàn tất xác minh tấn công trong nhiều môi trường mô hình phổ biến.
Sau khi kiểm chứng, nhóm đã khởi động quy trình công bố lỗ hổng có trách nhiệm và gửi đề xuất khắc phục tới NVDB AI Product Security Vulnerability Database (CAIVD) cùng cộng đồng GitHub. Mục tiêu là hỗ trợ vá lỗi, giảm khả năng bị khai thác và hạn chế nguy cơ rò rỉ dữ liệu từ máy chủ chạy tác vụ tự trị.
