OpenClaw: Khi "hàng nhà trồng" biến thành Malware được cấp quyền Root?

Anh em dạo này lướt GitHub hay Reddit chắc thấy con OpenClaw đang nổi như cồn đúng không? Kiểu "ChatGPT phiên bản tự host", "tự do ngôn luận", "không sợ OpenAI soi mói". Nghe thì bùi tai đấy, tôi cũng suýt nữa thì hí hửng pull về nghịch.

Nhưng đời không như mơ, và code thì không bao giờ hết bug. Một ông thần bên r/sysadmin vừa bóc trần sự thật trần trụi về cái project này, đọc xong mà lạnh cả sống lưng. Hóa ra ranh giới giữa "công cụ hỗ trợ" và "malware tự nguyện" nó mong manh lắm các ông ạ.

Cú "Check hàng" đi vào lòng đất: 2000 lỗ hổng bảo mật?

Chuyện là có một bác sysadmin, tạm gọi là "người chơi hệ cẩn thận", sau khi hì hục setup OpenClaw chạy mượt mà với Telegram, thay vì đi khoe với thiên hạ thì bác ấy lại rảnh tay... soi cái Docker image mình vừa tải về.

Kết quả? Ối dồi ôi luôn:

• Image chính chủ (Official GHCR): Chứa sơ sơ khoảng 2.000 CVEs (lỗ hổng bảo mật). Trong đó có 7 cái mức độ Critical (nghiêm trọng). Vài cái còn chưa thèm có bản vá.
• Hàng Fake loại 1: Bản build của 1panel cũng y chang, anh em sinh đôi khác cha khác mẹ.
• Treo đầu dê bán thịt chó: Mang tiếng tag là alpine/openclaw (nghe có vẻ nhẹ, tối giản), nhưng bên dưới lại chạy Debian 12 với 1.156 lỗ hổng.

Anh em nào không tin thì cứ gõ lệnh này vào terminal (nhớ thêm --rm kẻo rác máy): docker run --rm alpine/openclaw cat /etc/os-release

Nhưng cái đáng sợ nhất không phải là số lượng bug, mà là cơ chế hoạt động của nó. OpenClaw không chạy sandbox như ChatGPT. Nó có quyền chỉnh sửa file local và thực thi lệnh hệ thống.

Tức là sao? Tức là các ông đang cấp quyền cho một cái container đầy rẫy lỗ hổng, truy cập thẳng vào API keys, database WhatsApp, và toàn bộ file hệ thống của các ông. Khác gì mở toang cửa nhà, dán giấy mời trộm vào xơi không?

Giang hồ mạng nói gì: "Malware thời 4.0 là phải tự nguyện"

Vụ việc này đã khiến cộng đồng dev dậy sóng, và tất nhiên, các thánh comment dạo không làm tôi thất vọng. Dưới đây là vài góc nhìn cay đắng nhưng chuẩn không cần chỉnh:

• Góc nhìn hoài cổ: Tài khoản Dialed_Digs mỉa mai: "Hồi xưa tụi tôi cũng có phần mềm tự chạy full quyền trên hệ thống đấy. Hồi đó gọi là malware." Ông jews4beer bồi thêm: "Cái thời phải bị lừa mới dính virus qua rồi. Giờ người ta toàn tự nguyện cài virus vào máy thôi."
• Góc nhìn bảo mật: Một thánh chốt câu xanh rờn: "Hãy nhớ nhé, chữ S trong từ AI viết tắt cho Security." (Mà chữ AI làm quái gì có chữ S nào -> Ý là bảo mật bằng 0).
• Góc nhìn kỹ thuật: Nhiều anh em soi code và nhận ra OpenClaw là một đống hổ lốn với 400k dòng code theo hệ "tâm linh" (vibecoded). Tác giả code xong chắc còn chả dám đọc lại, giờ bảo fix hay trim bớt dependency thì có mà đập đi xây lại còn nhanh hơn.
• Góc nhìn thực tế: "Chạy cái này khác gì pipe thẳng output của ChatGPT vào sudo terminal đâu?". Nghe thô nhưng thật. Tư duy dùng AI agent mà không có lớp kiểm soát (security layer) thì sớm muộn cũng "toang".

Góc nhìn từ Coding4Food: Đừng làm "Chuột bạch" mù quáng

Nói đi cũng phải nói lại, ý tưởng về một con AI Agent self-hosted là rất ngon. Nhưng ngon không có nghĩa là bổ.

Bài học xương máu cho anh em dev nhà mình sau vụ này:

1. Đừng tin vào tag: Thấy alpine đừng tưởng là nhẹ, thấy official đừng tưởng là sạch. Luôn scan image trước khi deploy vào môi trường quan trọng.
2. Nguyên tắc đặc quyền tối thiểu (Least Privilege): Đừng bao giờ cấp full quyền root hay truy cập file hệ thống cho bất kỳ con AI nào, trừ khi chạy trong môi trường sandbox cô lập hoàn toàn.
3. Trend là nhất thời, Data là mãi mãi: Đừng vì ham hố mấy cái công nghệ mới nổi mà đánh đổi dữ liệu của mình. Mấy project open-source kiểu "mỳ ăn liền" này thường thiếu quy trình kiểm định bảo mật nghiêm ngặt.

Túm cái váy lại: OpenClaw hiện tại giống một quả bom nổ chậm hơn là một trợ lý ảo. Anh em nào đang chạy thì tắt gấp, chờ nó fix (nếu có thể) hoặc tìm giải pháp khác sạch sẽ hơn nhé. Đừng để lúc sập server mới ngồi khóc tiếng Mán!

Nguồn tham khảo

• Reddit r/sysadmin