360 AI Agent phát hiện lỗ hổng rủi ro cao trên OpenClaw

Lỗ hổng Prompt injection giao thức MEDIA trên OpenClaw bị CNNVD xác nhận có thể vượt quyền công cụ và làm rò rỉ tệp cục bộ, đẩy hơn 170.000 instance OpenClaw công khai vào diện rủi ro trên phạm vi hơn 50 quốc gia và vùng lãnh thổ.

360 Digital Security Group phát hiện vấn đề bằng hệ thống 360 Multi-Agent Collaborative Vulnerability Discovery System tự phát triển. Điểm nguy hiểm là lỗ hổng nằm ở lớp hậu xử lý đầu ra, giúp kẻ tấn công né hoàn toàn kiểm soát chính sách công cụ của nền tảng.

Tác động và phạm vi

Lỗ hổng được đánh giá rủi ro cao, ảnh hưởng toàn cầu và nhắm vào các instance OpenClaw đang mở truy cập công khai.

Theo phát hiện, có hơn 170.000 instance OpenClaw công khai có nguy cơ bị khai thác, trải rộng hơn 50 quốc gia và vùng lãnh thổ. Lỗ hổng đã được China National Vulnerability Database (CNNVD) xác nhận chính thức, cho thấy mức độ nghiêm trọng và khả năng lan rộng trong môi trường triển khai thực tế.

Bản chất sự cố là rò rỉ tệp cục bộ và thông tin nhạy cảm của máy chủ. Khi dữ liệu này bị lấy cắp, kẻ tấn công có thể dùng làm bàn đạp để kích hoạt các đợt tấn công mạng tiếp theo nhắm vào hệ thống và hạ tầng liên quan.

Cơ chế khai thác: vượt kiểm soát công cụ ở lớp hậu xử lý

Giao thức MEDIA chạy ở lớp hậu xử lý đầu ra, giúp bỏ qua kiểm soát chính sách công cụ của nền tảng, kể cả khi agent tắt mọi lệnh gọi công cụ.

Rủi ro cốt lõi nằm ở việc MEDIA hoạt động tại output post-processing layer, nơi các kiểm soát cấp công cụ bị vô hiệu hóa trong thực tế. Điều này tạo ra đường đi vòng để vượt quyền (tool privilege bypass) và trích xuất dữ liệu nội bộ như tệp cục bộ.

Kịch bản tấn công được mô tả là kẻ xấu chỉ cần quyền cơ bản của thành viên trong group chat để triển khai khai thác. Ngay cả khi agent đã vô hiệu hóa tất cả tool calls, cuộc tấn công vẫn có thể diễn ra và dẫn tới việc đánh cắp thông tin nhạy cảm của máy chủ.