SlowMist phát hiện kỹ năng độc hại trên ClawHub có thể trộm ví tiền mã hóa

SlowMist cảnh báo đã phát hiện 1.184 kỹ năng độc hại trên chợ ClawHub của OpenClaw, có khả năng đánh cắp khóa SSH, ví tiền điện tử mã hóa, mật khẩu trình duyệt và mở reverse shell.

Cảnh báo nhấn mạnh rủi ro từ hệ sinh thái kỹ năng AI: nội dung không còn chỉ là văn bản mà có thể là chỉ dẫn thực thi. SlowMist khuyến nghị tách môi trường khi dùng công cụ AI, trong bối cảnh sự cố Web3 ngày càng không chỉ xuất phát từ hợp đồng.

Quy mô và hành vi tấn công trên ClawHub

SlowMist cho biết 1.184 kỹ năng độc hại đã được phát hiện trên OpenClaw ClawHub, tập trung vào đánh cắp thông tin nhạy cảm và mở cửa hậu.

Theo Yu Xian, các kỹ năng này nhắm tới khóa SSH, ví tiền điện tử mã hóa, mật khẩu trình duyệt và thiết lập reverse shell. Đáng chú ý, chỉ một kẻ tấn công đã tải lên 677 gói phần mềm, cho thấy khả năng tự động hóa hoặc chiến dịch phát tán quy mô lớn trên marketplace.

Kỹ năng được xếp hạng cao nhất bị nêu là có 9 lỗ hổng và đã được tải xuống hàng nghìn lần, làm tăng xác suất lây nhiễm dây chuyền. Điều này cho thấy cơ chế xếp hạng/phổ biến có thể vô tình khuếch đại rủi ro khi người dùng tin vào mức độ phổ biến thay vì kiểm định an toàn.

Khuyến nghị an toàn và liên hệ vụ Moonwell 1,78 triệu USD

Yu Xian nhấn mạnh văn bản không còn chỉ là văn bản, mà có thể là chỉ dẫn; vì vậy nên vận hành công cụ AI trong môi trường tách biệt để giảm thiểu rủi ro.

Ông cảnh báo nhiều kỹ năng OpenClaw mang rủi ro tiềm ẩn, và an ninh Web3 không chỉ nằm ở hợp đồng. Nguyên nhân sự cố ngày càng vượt ra ngoài lỗi hợp đồng, bao gồm chuỗi cung ứng phần mềm và các thành phần do AI hỗ trợ tạo ra.

Vài ngày trước, Moonwell bị trộm 1,78 triệu USD, trong đó đoạn mã lỗi được cho là xuất phát từ Co-Authored-By: Claude Opus 4.6. Trường hợp này được đưa ra như ví dụ về rủi ro khi tích hợp mã do AI tham gia tạo, đặc biệt nếu thiếu quy trình rà soát và kiểm thử phù hợp.

Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.

Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, TinTucBitcoin.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.