Phát hiện 4 lỗ hổng nghiêm trọng trong OpenClaw: Cho phép đánh cắp dữ liệu và leo thang đặc quyền

Các nhà nghiên cứu an ninh mạng vừa công bố một nhóm bốn lỗ hổng bảo mật trong OpenClaw có thể bị xâu chuỗi để thực hiện đánh cắp dữ liệu, leo thang đặc quyền và duy trì quyền truy cập trái phép trong hệ thống. Bộ lỗ hổng này được Cyera đặt tên là Claw Chain, cho phép kẻ tấn công thiết lập chỗ đứng ban đầu, truy xuất dữ liệu nhạy cảm và cài backdoor.

Cơ chế kỹ thuật của bộ lỗ hổng Claw Chain

Bốn lỗ hổng cấu thành Claw Chain được phát hiện bởi nhà nghiên cứu Vladimir Tokarev và báo cáo theo quy trình responsible disclosure. Mô tả kỹ thuật từng lỗ hổng như sau:

  • CVE-2026-44112 (CVSS: 9.6/6.3) – Lỗi race condition dạng TOCTOU (time-of-check/time-of-use) trong backend sandbox được quản lý bởi OpenShell. Cho phép kẻ tấn công vượt qua giới hạn sandbox và chuyển hướng thao tác ghi dữ liệu ra ngoài thư mục mount root được chỉ định.
  • CVE-2026-44113 (CVSS: 7.7/6.3) – Lỗi TOCTOU thứ hai trong OpenShell, cho phép bypass cơ chế sandbox để đọc file nằm ngoài mount root dự kiến, bao gồm credentials và các artifact nội bộ.
  • CVE-2026-44115 (CVSS: 8.8) – Lỗi danh sách chặn input không đầy đủ, cho phép kẻ tấn công vượt qua cơ chế allow list bằng cách nhúng shell expansion token vào nội dung heredoc, từ đó thực thi các lệnh không được phép trong runtime.
  • CVE-2026-44118 (CVSS: 7.8) – Lỗi kiểm soát truy cập không đúng cách, cho phép client loopback không phải owner giả mạo danh tính owner để leo thang đặc quyền, chiếm quyền cấu hình gateway, quản lý cron scheduling và môi trường thực thi.

Nguyên nhân gốc của CVE-2026-44118 nằm ở việc OpenClaw tin tưởng vào cờ senderIsOwner do phía client tự gửi lên – dùng để xác định quyền truy cập công cụ dành cho owner – nhưng không được xác thực với phiên đăng nhập, tạo ra điểm mù nghiêm trọng trong cơ chế phân quyền.

Chuỗi khai thác tấn công

Khi bị khai thác theo chuỗi, bốn lỗ hổng trên cho phép kẻ tấn công kiểm soát hoàn toàn hệ thống mục tiêu qua 4 bước:

  1. Thực thi mã bên trong sandbox của OpenShell thông qua plugin độc hại, prompt injection hoặc input bên ngoài đã bị compromise
  2. Lợi dụng CVE-2026-44113CVE-2026-44115 để truy xuất credentials, secrets và các file nhạy cảm
  3. Khai thác CVE-2026-44118 để chiếm quyền owner-level trên runtime của agent
  4. Sử dụng CVE-2026-44112 để cài backdoor, chỉnh sửa cấu hình và thiết lập persistence trong hệ thống

Tất cả phiên bản OpenClaw trước bản vá đều bị ảnh hưởng. Điểm nguy hiểm đặc biệt của Claw Chain nằm ở khả năng ngụy trang: mỗi bước trong chuỗi khai thác đều trông giống hoạt động bình thường của agent, khiến các cơ chế phòng thủ truyền thống khó phát hiện và phạm vi ảnh hưởng mở rộng đáng kể.

Khuyến nghị từ các chuyên gia bảo mật

Cả bốn lỗ hổng đã được vá trong OpenClaw phiên bản 2026.4.22. Các tổ chức và cá nhân đang vận hành môi trường có tích hợp OpenClaw cần ưu tiên thực hiện ngay các bước sau:

  • Cập nhật lên phiên bản 2026.4.22 ngay lập tức: Đây là biện pháp phòng thủ trực tiếp và hiệu quả nhất. Với điểm CVSS cao nhất trong bộ lỗ hổng lên đến 9.6, mức độ rủi ro khi tiếp tục vận hành phiên bản cũ là không thể chấp nhận được, đặc biệt trong các môi trường xử lý dữ liệu nhạy cảm hoặc có kết nối với hệ thống production.
  • Rà soát toàn bộ plugin bên thứ ba tích hợp với OpenShell: CVE-2026-44112 và CVE-2026-44113 có thể bị kích hoạt thông qua plugin độc hại hoặc input từ nguồn bên ngoài đã bị compromise – không nhất thiết phải là tấn công trực tiếp. Các đội kỹ thuật cần kiểm tra kỹ nguồn gốc, quyền hạn và hành vi của từng plugin đang hoạt động, đặc biệt những plugin có khả năng tương tác với filesystem hoặc thực thi lệnh shell
  • Audit lại cơ chế xác thực phân quyền trong toàn bộ hệ thống: CVE-2026-44118 phơi bày một anti-pattern nguy hiểm: tin tưởng vào cờ senderIsOwner do client tự khai báo mà không đối chiếu với authenticated session. Đây là dấu hiệu cảnh báo cho bất kỳ hệ thống nào đang áp dụng mô hình tương tự OpenClaw. Các đội bảo mật nên mở rộng phạm vi audit ra các service nội bộ khác, đặc biệt là những nơi quyết định phân quyền dựa trên metadata do khách hàng cung cấp thay vì token xác thực độc lập.