Chuỗi lỗ hổng 'Claw Chain' trong OpenClaw cho phép thoát khỏi Sandbox và cài đặt Backdoor

Một chuỗi gồm bốn lỗ hổng bảo mật trong trợ lý AI OpenClaw có thể được xâu chuỗi lại với nhau để cài đặt backdoor (cửa sau) trên máy chủ, công ty an ninh mạng Cyera vừa cảnh báo.

Minh họa về lỗ hổng OpenClaw

Các lỗi này, được gọi chung là "Claw Chain", cho phép một kẻ tấn công có quyền thực thi mã bên trong sandbox có thể kiểm soát thời gian chạy của tác nhân AI và lạm dụng nó để xâm phạm hệ thống.

Cơ chế tấn công

Theo Cyera, kẻ tấn công có thể dựa vào các phương pháp như prompt injection (tiêm lệnh), plugin độc hại hoặc đầu vào bên ngoài bị xâm phạm để kích hoạt chuỗi tấn công này, biến AI thành công cụ hỗ trợ của chính chúng.

Sau khi có được quyền thực thi mã trong sandbox OpenShell, kẻ tấn công có thể khai thác một lỗi race condition (CVE-2026-44113) để đọc các tệp nằm ngoài thư mục gốc được gắn kết (mount root). Ngoài ra, chúng cũng có thể lợi dụng lỗi phân tích danh sách cho phép thực thi (CVE-2026-44115) để chạy các lệnh chưa được phê duyệt trong thời gian chạy.

Việc khai thác thành công các vấn đề này cho phép kẻ tấn công bỏ qua các hạn chế của sandbox, làm lộ thông tin đăng nhập, khóa API, token, tệp cấu hình và các dữ liệu nhạy cảm khác.

Thăng đặc quyền và cài đặt Backdoor

Tiếp theo, kẻ tấn công có thể khai thác lỗi loopback MCP (CVE-2026-44118) để thao túng cờ quyền sở hữu chưa được xác minh và nâng đặc quyền của mình lên cấp chủ sở hữu (owner-level). Điều này giúp chúng truy cập vào các chức năng quản lý quan trọng, bao gồm cấu hình và điều phối thực thi.

Cuối cùng, kẻ tấn công khai thác lỗ hổng thứ tư, một lỗi race condition mức độ nghiêm trọng trong sandbox OpenShell (CVE-2026-44112, điểm CVSS 9.6), để ghi dữ liệu ra ngoài ranh giới sandbox. Lỗi này cho phép kẻ tấn công sửa đổi cấu hình, cài đặt backdoor và giành quyền kiểm soát liên tục máy chủ.

"Bằng cách vũ khí hóa các đặc quyền của chính tác nhân AI, kẻ địch có thể di chuyển qua việc truy cập dữ liệu, thăng đặc quyền và duy trì quyền kiểm soát — sử dụng tác nhân như 'đôi tay' của chúng trong môi trường đó. Mỗi bước đều trông giống như hành vi bình thường của tác nhân đối với các biện pháp kiểm soát truyền thống, làm mở rộng phạm vi ảnh hưởng và khiến việc phát hiện trở nên khó khăn hơn nhiều," Cyera nhận định.

Tác động và Khắc phục

Cyera cho biết hiện có hơn 60.000 phiên bản OpenClaw có thể truy cập công khai, lưu ý rằng các tác nhân này thường có quyền truy cập rộng rãi vào các hệ thống nội bộ, dữ liệu nhạy cảm và bí mật.

Nếu xâu chuỗi thành công các lỗi trong "Claw Chain", kẻ tấn công có thể xâm phạm biến môi trường, token, vật liệu xác thực, cấu hình nội bộ, thông tin đăng nhập hệ thống, mã nguồn, lời nhắc và đầu ra của người dùng, lịch sử hội thoại và các hoạt động đặc quyền.

Quan trọng là, chuỗi tấn công này không phụ thuộc vào một lỗ hổng duy nhất như thực thi lệnh tùy ý. Thay vào đó, nó chứng minh cách nhiều điểm yếu nhỏ hơn (rò rỉ dữ liệu, race condition và kiểm soát truy cập không phù hợp) có thể được khai thác song song từ một vị trí đã chiếm được để đạt được kịch bản xâm phạm hoàn toàn.

Tất cả bốn lỗ hổng này đã được báo cáo cho đội ngũ bảo trì OpenClaw vào ngày 22/4 và các bản vá đã được phát hành vào ngày hôm sau.