ClawHub, chợ kỹ năng cho AI agent OpenClaw, đang bị lợi dụng để phát tán kỹ năng độc hại dạng tấn công chuỗi cung ứng, có thể đánh cắp thông tin đăng nhập và gián tiếp gây rủi ro cho tài khoản lẫn ví tiền điện tử.
Nghiên cứu bảo mật cho thấy nhiều “skills” trông hợp pháp nhưng ẩn cơ chế tải mã độc hoặc yêu cầu cài thêm thành phần bên ngoài. Vì AI agent đang được áp dụng nhanh, các kỹ năng bị cài cắm có thể lan rộng trước khi kịp bị rà soát.
- Hàng trăm kỹ năng trên ClawHub bị nghi cài mã độc, phục vụ đánh cắp thông tin đăng nhập theo kiểu chuỗi cung ứng.
- Một số kỹ năng ngụy trang hợp lệ nhưng ẩn backdoor/tải xuống, có thể dẫn tới rò rỉ dữ liệu và rủi ro với ví tiền điện tử.
- Người dùng được khuyến nghị kiểm tra chặt bước cài đặt, lệnh copy–paste, và tránh cài từ nguồn chưa xác thực.
ClawHub bị phát hiện lưu trữ nhiều kỹ năng AI agent độc hại
Nhiều kỹ năng trên ClawHub bị cáo buộc chứa mã độc đánh cắp thông tin đăng nhập, tạo rủi ro lan truyền theo chuỗi cung ứng và có thể ảnh hưởng đến tài khoản, dữ liệu, thậm chí ví tiền điện tử của người dùng.
ClawHub là marketplace cho “skills” của OpenClaw AI agent. Các nhà nghiên cứu bảo mật cho biết nền tảng này đang lưu hành nhiều kỹ năng có dấu hiệu bị xâm nhập, trong đó mã độc được giấu trong quy trình cài đặt hoặc trong mã tải về sau khi cài.
Nhóm SlowMist cho biết họ đã rà soát hơn 400 kỹ năng có khả năng bị can thiệp và quan sát dấu hiệu tấn công có tổ chức, nhắm vào các domain cụ thể. Một số kỹ năng như “X Trends” bị phát hiện ẩn cơ chế tải backdoor, từ đó có thể gửi thông tin đăng nhập về cho tác nhân đe dọa.
Kết quả này mở rộng từ phát hiện trước đó của KOI Security, vốn ghi nhận 341 kỹ năng độc hại trong tổng số 2.857 kỹ năng bot trên marketplace. Phân tích sau đó của SlowMist nêu khả năng có tới 472 kỹ năng độc hại, dù con số có thể còn thay đổi theo thời điểm rà soát.
Kỹ năng độc hại có thể đánh cắp thông tin và làm tăng rủi ro với ví tiền điện tử
Các kỹ năng độc hại được mô tả có thể triển khai stealer, keylogger hoặc backdoor để thu thập thông tin đăng nhập, từ đó tạo nguy cơ chiếm đoạt tài khoản và ảnh hưởng đến việc truy cập ví tiền điện tử.
Trước đó, KOI Research thực hiện nghiên cứu có hỗ trợ AI bằng một bot OpenClaw tên Alex và phát hiện 335 kỹ năng được dùng để “đẩy” Atomic Stealer trên macOS. Mô típ phổ biến là kỹ năng trông giống công cụ hợp pháp, nhưng phần hướng dẫn lại yêu cầu cài thêm “phụ thuộc” trước khi sử dụng.
“Bạn cài thứ trông như một kỹ năng hợp pháp – có thể solana-wallet-tracker hoặc youtube-summarize-pro.”
– Oren Yomtov, nhà nghiên cứu KOI
Các mô tả kỹ năng có thể được trình bày chuyên nghiệp để tạo độ tin cậy, trong khi đoạn “Prerequisites” (điều kiện trước) lại dẫn người dùng tới bước cài đặt bổ sung. Theo cảnh báo, chính bước bổ sung này có thể là điểm chèn mã độc.
Ngoài macOS, một khai thác trên Windows cũng được báo cáo, lôi kéo người dùng tải thêm tệp từ một kho GitHub. Chuỗi tấn công còn có thể bao gồm keylogger để thu thập nhiều loại thông tin đăng nhập, từ đó làm tăng khả năng lộ dữ liệu nhạy cảm liên quan đến tài khoản sàn, dịch vụ crypto, hoặc quyền truy cập ví.
SlowMist tiếp tục theo dõi rủi ro chuỗi cung ứng trên ClawHub
SlowMist đánh giá đây có thể không phải sự cố đơn lẻ và sẽ tiếp tục giám sát ClawHub, do nền tảng còn thiếu cơ chế rà soát chính thức, khiến kỹ năng phổ biến vẫn có thể bị cài cắm.
Theo SlowMist, ClawHub là không gian tương đối mới và thu hút nhiều nhà phát triển. Khi chưa có quy trình review chặt chẽ, các kỹ năng được sử dụng rộng rãi có thể trở thành “điểm phân phối” hiệu quả cho tấn công chuỗi cung ứng.
Hiện chưa có báo cáo rõ ràng về việc bị trộm crypto trực tiếp thông qua ClawHub. Tuy vậy, từng có ghi nhận về kho kỹ năng công khai chứa prompt độc hại liên quan đến nỗ lực đánh cắp crypto, cho thấy bề mặt tấn công có thể mở rộng từ mã, quy trình cài đặt đến cả nội dung prompt.
SlowMist cho biết họ sẽ phát cảnh báo theo thời gian thực qua dịch vụ MistEye để phát hiện kỹ năng độc hại mới trên ClawHub. Họ cũng nêu việc phát hiện một địa chỉ IP bị tái sử dụng trong các cuộc tấn công; theo hồ sơ đe dọa, IP 91.92.242.30 từng được liên hệ trong lịch sử với nhóm hacker Poseidon, vốn gắn với tống tiền và đánh cắp dữ liệu.
Cách giảm rủi ro khi cài kỹ năng AI agent có liên quan đến crypto
Để giảm rủi ro, người dùng không nên tin mù quáng các bước cài đặt “Prerequisites”, cần kiểm tra kỹ mọi lệnh copy–paste, và tránh cài đặt từ nguồn không rõ ràng, đặc biệt khi hệ thống yêu cầu quyền truy cập nhạy cảm.
Các nhà nghiên cứu khuyến nghị rà soát thủ công những lệnh hoặc script mà kỹ năng yêu cầu chạy, nhất là các bước tải tệp bổ sung. Việc “xem trước” prompt theo lẽ thường cũng giúp phát hiện dấu hiệu bất thường, như yêu cầu mật khẩu hệ thống hoặc thông tin truy cập bảo mật.
Nếu đang dùng công cụ liên quan tiền điện tử, hãy ưu tiên môi trường tách biệt (máy ảo/tài khoản thử nghiệm), hạn chế quyền truy cập, và chờ kênh chính thức khi cài kỹ năng mới. Với ví tiền điện tử, cần cảnh giác khi một kỹ năng yêu cầu nhập seed phrase, private key, hoặc đăng nhập dịch vụ sàn.
Những câu hỏi thường gặp
ClawHub là gì và vì sao gây rủi ro chuỗi cung ứng?
ClawHub là marketplace cho kỹ năng (skills) của OpenClaw AI agent. Rủi ro chuỗi cung ứng xuất hiện khi người dùng cài một kỹ năng tưởng hợp pháp nhưng bên trong có mã độc hoặc hướng dẫn cài thêm thành phần độc hại, khiến nhiều nạn nhân bị ảnh hưởng cùng lúc.
Mã độc trong “skills” có thể ảnh hưởng đến ví tiền điện tử như thế nào?
Các kỹ năng bị cài cắm có thể đánh cắp thông tin đăng nhập, ghi lại thao tác gõ phím (keylogger) hoặc tải backdoor. Điều này có thể dẫn đến chiếm quyền tài khoản email, sàn giao dịch, dịch vụ quản lý tài sản, hoặc làm lộ dữ liệu cho phép truy cập ví.
Con số kỹ năng độc hại được báo cáo là bao nhiêu?
KOI Security nêu 341 kỹ năng độc hại trong tổng 2.857 kỹ năng bot trên marketplace. SlowMist sau đó cho biết có thể phát hiện tới 472 kỹ năng độc hại, nhưng con số có thể thay đổi theo thời điểm rà soát.
Dấu hiệu nhận biết một kỹ năng AI agent có thể độc hại là gì?
Dấu hiệu thường gặp gồm phần “Prerequisites” yêu cầu cài thêm công cụ/tệp trước khi dùng, hướng dẫn chạy lệnh không rõ mục đích, tải file từ kho bên ngoài, hoặc prompt yêu cầu mật khẩu hệ thống/thông tin truy cập nhạy cảm. Tài liệu “trông chuyên nghiệp” không đồng nghĩa an toàn.
Nên làm gì trước khi cài một kỹ năng liên quan đến theo dõi ví hoặc crypto?
Hãy kiểm tra mã nguồn và lệnh cài đặt, tránh copy–paste mù quáng, hạn chế quyền hệ thống, và thử nghiệm trong môi trường tách biệt. Không bao giờ nhập seed phrase hoặc private key theo yêu cầu của kỹ năng, và ưu tiên cài từ kênh chính thức.
