SlowMist phát hiện 341 kỹ năng độc hại trong OpenClaw Plugin Hub

Cảnh báo bảo mật nghiêm trọng đã giáng xuống hệ sinh thái OpenClaw AI. Công ty an ninh blockchain SlowMist phát hiện một cuộc tấn công chuỗi cung ứng quy mô lớn bên trong ClawHub — chợ plugin của nền tảng này. Vấn đề được phơi bày sau khi Koi Security quét 2.857 kỹ năng và đánh dấu 341 trong số đó là độc hại.

SlowMist reports supply chain poisoning in OpenClaw's ClawHub plugin center. Weak reviews allowed numerous malicious skills to infiltrate and spread harmful code. Koi Security scanned 2,857 skills, identifying 341 malicious. SlowMist analyzed >400 IOCs, revealing organized batch… pic.twitter.com/5Kwho8aXMQ

— Wu Blockchain (@WuBlockchain) February 9, 2026

Điều này đồng nghĩa khoảng 12% số plugin được quét chứa mã độc. Phát hiện này làm dấy lên lo ngại bởi OpenClaw đã tăng trưởng rất nhanh trong những tháng gần đây. Bộ công cụ agent mã nguồn mở của nền tảng thu hút đông đảo nhà phát triển, nhưng cũng khiến OpenClaw trở thành mục tiêu hấp dẫn hơn đối với tin tặc.

Đánh giá lỏng lẻo tạo kẽ hở cho kỹ năng độc hại

Cuộc tấn công diễn ra do các khâu kiểm duyệt yếu trong cửa hàng plugin. Tin tặc tải lên những kỹ năng trông có vẻ bình thường. Tuy nhiên, bên trong mã lại chứa các chỉ thị ẩn. SlowMist cho biết nhiều kỹ năng sử dụng mô hình tấn công hai giai đoạn. Ở giai đoạn đầu, plugin chứa các lệnh đã được làm rối. Chúng thường ngụy trang dưới dạng bước cài đặt hoặc phụ thuộc thông thường, nhưng thực chất âm thầm giải mã các script ẩn.

Sau đó, giai đoạn hai sẽ tải xuống payload độc hại thực sự. Mã độc lấy dữ liệu từ các domain hoặc địa chỉ IP cố định, rồi thực thi malware trên hệ thống nạn nhân. Một ví dụ là kỹ năng mang tên “X (Twitter) Trends”. Bề ngoài, nó trông vô hại và hữu ích. Nhưng bên trong lại ẩn một cửa hậu được mã hóa bằng Base64. Đoạn mã này có thể đánh cắp mật khẩu, thu thập tệp và gửi dữ liệu về máy chủ từ xa.

Phát hiện hàng trăm plugin độc hại

Quy mô của cuộc tấn công khiến nhiều nhà phân tích bất ngờ. Trong số 2.857 kỹ năng được quét, có tới 341 kỹ năng thể hiện hành vi độc hại. Koi Security cho rằng phần lớn trong số này thuộc về một chiến dịch quy mô lớn duy nhất. SlowMist cũng phân tích hơn 400 chỉ dấu xâm nhập. Dữ liệu cho thấy các đợt tải plugin được tổ chức theo lô, với nhiều plugin sử dụng chung domain và hạ tầng.

Rủi ro đối với người dùng chạy các kỹ năng này là rất lớn. Một số plugin yêu cầu quyền truy cập shell hoặc quyền truy cập tệp. Điều đó tạo cơ hội để mã độc đánh cắp thông tin đăng nhập, tài liệu và khóa API. Một số kỹ năng giả mạo còn bắt chước các công cụ crypto, tiện ích YouTube hoặc công cụ tự động hóa. Những cái tên quen thuộc này khiến chúng dễ được cài đặt mà không gây nghi ngờ.

Các công ty bảo mật kêu gọi thận trọng

Các nhà nghiên cứu an ninh đã bắt đầu triển khai hoạt động dọn dẹp. SlowMist báo cáo hàng trăm mục đáng ngờ trong các đợt quét ban đầu. Trong khi đó, Koi Security đã phát hành một công cụ quét miễn phí dành cho các kỹ năng OpenClaw. Giới chuyên gia cảnh báo người dùng không nên mù quáng chạy các lệnh của plugin. Nhiều cuộc tấn công bắt nguồn từ những bước cài đặt đơn giản trong tệp kỹ năng. Người dùng cũng nên tránh các kỹ năng yêu cầu mật khẩu hoặc quyền truy cập hệ thống quá rộng.

Các nhà phát triển được khuyến nghị thử nghiệm plugin trong môi trường cách ly. Việc quét độc lập và sử dụng nguồn chính thức nên là tuyến phòng thủ đầu tiên. Sự cố này cho thấy rủi ro tiềm ẩn trong các hệ sinh thái AI đang tăng trưởng nhanh. Chợ plugin thường phát triển với tốc độ cao, nhưng các biện pháp kiểm tra bảo mật có thể không theo kịp. Khi các agent AI ngày càng mạnh mẽ, những nền tảng này sẽ cần hệ thống đánh giá nghiêm ngặt hơn. Trước khi điều đó xảy ra, người dùng có lẽ phải coi mọi plugin đều là một mối đe dọa tiềm ẩn.