Phía sau sự hào nhoáng của một “trợ lý số biết làm mọi thứ” là loạt cảnh báo ngày càng dày đặc về rò rỉ dữ liệu, lỗ hổng bảo mật, lạm quyền truy cập và nguy cơ bị lợi dụng trong môi trường doanh nghiệp lẫn đời sống cá nhân.
 |
| (ảnh minh họa do AI tạo ra) |
Sức hút của OpenClaw đến từ đúng điều mà giới công nghệ đã chờ đợi nhiều năm: không chỉ trả lời câu hỏi như chatbot, công cụ này còn có thể thực thi hành động thay người dùng. Trang chủ dự án OpenClaw mô tả nó có thể dọn hộp thư, gửi email, quản lý lịch, làm thủ tục chuyến bay và hoạt động ngay trong các ứng dụng nhắn tin quen thuộc. Trang blog của Cisco cũng mô tả OpenClaw là một trợ lý AI tự lưu trữ, chạy cục bộ, có bộ nhớ dài hạn, có thể chạy script, điều khiển trình duyệt, quản lý email, lịch và tự động hóa theo lịch.
Chính khả năng “làm thật” ấy lại mở ra mặt trái lớn nhất của OpenClaw. Khác với chatbot truyền thống, một AI agent (AI tác nhân) muốn hữu ích phải được cấp quyền sâu: truy cập file, thông tin đăng nhập, ứng dụng, tài khoản nhắn tin và nhiều dịch vụ khác. Còn Kuware, một công ty chuyên về AI, nhận xét rằng khi người dùng trao quyền hành động cho agent, họ không còn dùng một công cụ đơn thuần mà đang “ủy quyền” cho một hệ thống số; và với OpenClaw, “vùng ảnh hưởng” của sai sót có thể chính là toàn bộ máy tính hoặc hệ thống đang chạy nó.
Quyền lực càng lớn, “bán kính sát thương” càng rộng
Các cảnh báo nghiêm trọng nhất xoay quanh chuyện OpenClaw được thiết kế để chạm rất sâu vào hệ thống. Cisco viết rõ rằng OpenClaw có thể chạy lệnh shell, đọc và ghi file, thực thi mã ngay trên máy người dùng. Công ty này nhấn mạnh rằng chỉ cần cấu hình sai, hoặc người dùng cài một “skill” chứa chỉ dẫn độc hại, AI agent có thể làm những việc gây hại với mức đặc quyền rất cao.
Vấn đề ở đây không phải OpenClaw mặc nhiên “xấu”, mà là nó khuếch đại rủi ro của mọi sai lầm nhỏ. Công ty Kuware cảnh báo rủi ro khi người dùng tự triển khai OpenClaw với quyền quá rộng, thậm chí chạy bằng quyền root, cô lập yếu hoặc gắn thêm plugin của bên thứ ba mà chưa kiểm tra kỹ. Trong bối cảnh đó, một lỗi cấu hình vốn chỉ gây phiền toái ở ứng dụng thông thường có thể trở thành thảm họa đối với AI agent.
Đáng lo hơn, OpenClaw còn kết nối với các kênh mạng xã hội phổ biến như WhatsApp, Telegram hay các ứng dụng chat khác (thậm chí cả Zalo). Theo Kuware, nếu tài khoản nhắn tin bị xâm nhập, kẻ tấn công có thể không chỉ đọc tin nhắn mà còn giành được khả năng ra lệnh cho chiếc máy đang chạy agent. Nói cách khác, bề mặt tấn công không còn giới hạn trong một ứng dụng AI, mà lan ra toàn bộ hệ sinh thái số gắn với nó.
Từ góc nhìn doanh nghiệp, Cisco cho rằng đây là dạng rủi ro “bóng đen AI” rất điển hình: nhân viên có thể âm thầm đưa các agent rủi ro cao vào nơi làm việc dưới vỏ bọc công cụ tăng năng suất. Một khi AI agent có quyền hệ thống, nó có thể trở thành kênh rò rỉ dữ liệu lén lút, né qua các công cụ giám sát truyền thống như DLP, proxy hay endpoint monitoring.
Lỗ hổng kỹ thuật không còn là giả thuyết
Nếu trước đây nhiều tranh luận quanh AI agent còn ở mức giả định, thì với OpenClaw, các sự cố bảo mật đã nhanh chóng xuất hiện ngoài đời thực. Theo Techzine dẫn kết quả quét của SecurityScorecard, đến ngày 9/2/2026 đã phát hiện 28.663 địa chỉ IP lộ bảng điều khiển OpenClaw trên 76 quốc gia; trong đó 12.812 phiên bản dễ tổn thương với lỗi thực thi mã từ xa.
Techzine còn nêu chi tiết ba cảnh báo bảo mật mức cao liên quan OpenClaw, trong đó có lỗ hổng cho phép chiếm quyền điều khiển agent qua một liên kết độc hại, lỗi chèn lệnh SSH trên ứng dụng macOS và lỗi thoát sandbox Docker. Các lỗ hổng đã được vá trong phiên bản phát hành ngày 29/1/2026, nhưng thực tế nhiều hệ thống bị phát hiện vẫn chạy bản cũ. Quan trọng hơn, khi một instance OpenClaw bị xâm nhập, kẻ tấn công có thể tiếp cận thư mục chứa API key, OAuth token, mật khẩu dịch vụ, khóa SSH, phiên trình duyệt, thậm chí gửi tin nhắn mạo danh nạn nhân hoặc đánh cắp ví số.
Một nguy cơ khác là chuỗi cung ứng “skill” của agent. Cisco cho biết nhóm nghiên cứu của họ đã quét skill cho OpenClaw và phát hiện hàng loạt vấn đề, gồm chèn lệnh bash, “tool poisoning” với payload độc hại nhúng trong file skill, cùng các rủi ro khác do skill có thể chi phối hành vi model, thực thi mã hoặc gọi thêm file. Cisco dẫn nghiên cứu cho thấy 26% trong số 31.000 agent skill được phân tích có ít nhất một lỗ hổng.
Điều này cho thấy câu chuyện không dừng ở phần lõi của OpenClaw. Một hệ sinh thái mở giúp công cụ phát triển nhanh, nhưng cũng khiến cánh cửa cho mã độc, chỉ dẫn ẩn và tiện ích giả mạo rộng hơn. Khi một skill độc hại lan nhanh trong cộng đồng, mức độ rủi ro tăng theo cấp số nhân.
Từ cơn sốt công nghệ đến nỗi lo quản trị
Mặt trái của OpenClaw không chỉ nằm ở kỹ thuật, mà còn ở cách xã hội phản ứng với một công nghệ đang “nóng”. Cisco mô tả OpenClaw là hiện tượng lan truyền chỉ trong vài tuần, còn Pure AI nhận xét dự án đã tăng tốc quá nhanh so với nhịp của tranh luận an ninh. Sức hấp dẫn của mã nguồn mở, số sao đánh giá trên GitHub và các màn trình diễn ấn tượng trên mạng xã hội khiến nhiều người bị cuốn vào tâm lý “cài trước, nghĩ sau”.
 |
| Trợ lý ảo OpenClaw có thể tự thực hiện nhiều công việc cho chủ nhân (ảnh minh họa do AI tạo ra) |
Ngay cả những người ủng hộ AI cũng thừa nhận OpenClaw chưa dành cho số đông. Pure AI dẫn lời nhà sáng lập Peter Steinberger nói với CNBC rằng đây vẫn là một dự án mã nguồn mở miễn phí cần cấu hình cẩn trọng để an toàn, “không dành cho người dùng không có chuyên môn kỹ thuật” ở thời điểm hiện tại. Lời thừa nhận ấy phần nào phản ánh khoảng cách lớn giữa mức độ lan truyền của sản phẩm và độ chín về an toàn vận hành.
Bên cạnh đó là vấn đề tính xác thực và môi trường thông tin hỗn tạp quanh OpenClaw. Nature ghi nhận sự nổi lên đột ngột của một mạng lưới chatbot AI trao đổi với nhau, thậm chí đăng bài nghiên cứu trên server riêng, tạo ra một hiện tượng xã hội mới để các nhà khoa học quan sát. Trong khi Reuters nói rằng không thể kiểm chứng liệu các bài đăng lan truyền trên Moltbook thực sự do bot tạo ra hay không thì The Verge dẫn nhận định rằng con người có thể đứng sau những bài đăng gây chú ý nhất.
Sự nhập nhằng đó làm nổi bật một mặt trái khác: OpenClaw không chỉ là một công cụ năng suất, mà còn trở thành chất xúc tác cho một hệ sinh thái “nửa thật nửa ảo”, nơi rất khó phân biệt đâu là hành vi tự chủ của agent, đâu là dàn dựng của con người, đâu là thổi phồng truyền thông. Trong môi trường như vậy, quyết định triển khai OpenClaw trong cơ quan, doanh nghiệp hay trên dữ liệu cá nhân rõ ràng không thể chỉ dựa vào hiệu ứng đám đông.
Không phải ngẫu nhiên mà mới đây chính phủ Trung Quốc đã phát thông báo khẩn đến cơ quan nhà nước, doanh nghiệp nhà nước và ngân hàng lớn yêu cầu nhân viên không cài OpenClaw trên thiết bị làm việc; thậm chí có nơi cấm cả trên điện thoại cá nhân nếu thiết bị đó dùng mạng nội bộ của cơ quan. Động thái này xuất phát từ lo ngại OpenClaw có thể làm rò rỉ, xóa hoặc lạm dụng dữ liệu khi được cấp quyền sâu trên thiết bị.
Bài học lớn hơn OpenClaw
Nhìn rộng hơn, OpenClaw chỉ là biểu hiện sớm nhất của một lớp công nghệ mới: AI không chỉ “nói”, mà “làm”. Một khi mô hình ngôn ngữ được nối với file, trình duyệt, tin nhắn, thanh toán, lịch làm việc và hệ thống doanh nghiệp, mọi vấn đề quen thuộc của an ninh mạng đều được nâng cấp lên một cấp độ mới. Kuware mô tả điều này bằng một câu ngắn gọn: email có thể trở thành mệnh lệnh, một trang web có thể trở thành cò súng, còn tài liệu có thể biến thành công cụ khai thác.
Vì thế, mặt trái của OpenClaw không nằm ở một lỗi đơn lẻ hay một đợt cường điệu nhất thời. Nó nằm ở chỗ OpenClaw đã đẩy cả thị trường đến gần một thực tế mới: càng trao nhiều quyền cho AI agent, xã hội càng phải trả lời những câu hỏi gai góc hơn về an toàn mặc định, trách nhiệm triển khai, quyền truy cập dữ liệu và giới hạn của tự động hóa. Nếu chưa giải được những bài toán đó, “trợ lý AI biết làm mọi thứ” rất có thể sẽ trở thành cánh cửa mở toang cho rủi ro.
Xem thêm:
Đăng Khoa