Slowmist: ClawHub tồn tại rủi ro cài đặt cửa sau, 21% Skills top 100 được liệt kê mức độ nguy hiểm cao

Giám đốc An ninh Thông tin của Mysterious Cloud Technology, 23pds, đã công bố cảnh báo rằng do ClawHub dựa vào chức năng đăng nhập một lần qua GitHub, các chứng chỉ phát triển bị trộm cắp bởi virus sâu (worm) có thể bị sử dụng để mạo danh nhà phát triển phát hành Skills độc hại, tiến hành tấn công chuỗi cung ứng. Đồng thời, GoPlus đã thực hiện quét toàn diện các Skills có lượt tải cao nhất của ClawHub, kết quả cho thấy 21% có mức độ nguy hiểm cao, 17% cần cảnh báo.

Phân tích toàn diện về chuỗi tấn công: Từ chứng chỉ GitHub đến xâm nhập hệ thống

Mysterious Cloud đã rõ ràng liệt kê toàn bộ lộ trình của cuộc tấn công tiềm năng này trong thông báo, giúp các nhà phát triển và người dùng hiểu rõ cơ chế thực tế của mối đe dọa:

Trộm cắp chứng chỉ: Virus sâu như Sha1-Hulud hoặc các cuộc tấn công lừa đảo (phishing) đã lấy cắp chứng chỉ đăng nhập GitHub của nhà phát triển

Chiếm quyền truy cập GitHub: Kẻ tấn công sử dụng chứng chỉ bị trộm để đăng nhập vào tài khoản GitHub của nạn nhân

Mạo danh nhà phát triển đăng nhập ClawHub: Do ClawHub sử dụng chức năng ủy quyền một lần qua GitHub, kẻ tấn công có thể trực tiếp truy cập nền tảng với danh nghĩa nhà phát triển hợp pháp

Phát hành Skills độc hại: Đăng tải Skills chứa hậu cửa dưới danh nghĩa nhà phát triển bị tấn công, khó phân biệt với Skills bình thường về mặt hình thức

Cài đặt và thực thi bởi người dùng: Người dùng không biết tải xuống và chạy các Skills này, kích hoạt mã độc

Xâm nhập hệ thống: Kẻ tấn công có thể chiếm quyền truy cập thiết bị của người dùng, dẫn đến trộm dữ liệu, điều khiển từ xa hoặc các hậu quả nghiêm trọng khác

Điều nguy hiểm của chuỗi tấn công này là mỗi bước đều có độ ẩn cao, người dùng gần như không thể phân biệt qua vẻ ngoài xem một Skills đã bị sửa đổi độc hại hay chưa.

Kết quả quét của GoPlus: Phân bố an toàn trong top 100 Skills

Vào ngày 12 tháng 3, GoPlus đã công bố báo cáo quét an toàn đối với 100 Skills tải xuống nhiều nhất của ClawHub, cung cấp dữ liệu định lượng rủi ro một cách hệ thống:

21% bị chặn (Blocked): Những Skills này có hành vi nguy hiểm rõ ràng, bao gồm các hành vi xâm nhập mạng trực tiếp, gọi API nhạy cảm và tự động gửi tin nhắn

17% cảnh báo (Warning): Có tiềm năng rủi ro, khuyến nghị người dùng cẩn trọng khi thực thi

62% qua kiểm duyệt: Các Skills còn lại chưa phát hiện vấn đề rõ ràng trong phạm vi quét hiện tại

GoPlus đề xuất, đối với các Skills có hành vi nguy hiểm cao, cần bắt buộc áp dụng cơ chế “Human-in-the-Loop (HITL)” để xác nhận thủ công, can thiệp trước khi thực hiện các thao tác quan trọng, thay vì xử lý sau.

Tranh cãi về SkillHub của Tencent: Thu thập dữ liệu quy mô lớn gây tranh luận về bản quyền và hỗ trợ

Trong bối cảnh cảnh báo an toàn ngày càng tăng, hệ sinh thái ClawHub cũng gặp phải tranh luận khác liên quan đến cách làm của Tencent. Tencent đã ra mắt cộng đồng SkillHub dựa trên nền tảng mã nguồn mở chính thức OpenClaw, hướng tới nhà phát triển Trung Quốc, như một nền tảng phân phối Skills địa phương. Tuy nhiên, Peter Steinberger, sáng lập OpenClaw, đã phản đối sau khi biết tin, cho biết ông từng nhận được email phàn nàn rằng Tencent đã thu thập toàn bộ Skills trên ClawHub và đưa vào nền tảng của họ, tốc độ thu thập nhanh đến mức kích hoạt giới hạn tốc độ của chính nền tảng. Steinberger nói thẳng: “Họ sao chép, nhưng không hỗ trợ dự án này.”

Phía chính thức của Tencent AI đã phản hồi, giải thích rằng SkillHub hoạt động dưới dạng mirror (bản sao) và đã ghi rõ nguồn gốc ban đầu là ClawHub, đồng thời nhấn mạnh mục đích của nền tảng là cung cấp trải nghiệm truy cập ổn định và nhanh hơn cho người dùng Trung Quốc. Trong tuần đầu tiên ra mắt, nền tảng đã xử lý khoảng 180GB lưu lượng tải xuống (gần 870.000 lượt tải), nhưng dữ liệu thực tế lấy từ nguồn chính thức chỉ khoảng 1GB, và Tencent cũng nhấn mạnh nhiều thành viên trong nhóm đã đóng góp mã cho các dự án mã nguồn mở liên quan, mong muốn tiếp tục hỗ trợ phát triển hệ sinh thái.

Các câu hỏi thường gặp

Người dùng ClawHub nên làm gì để tự bảo vệ khỏi Skills độc hại?
Nên ưu tiên cài đặt các Skills đã qua kiểm duyệt an toàn bởi các tổ chức như GoPlus; cẩn trọng với các Skills yêu cầu truy cập hệ thống tập tin, mạng hoặc API hệ thống; theo dõi lượt tải và đánh giá của Skills nhưng không dựa hoàn toàn vào đó để đánh giá an toàn; thường xuyên cập nhật Skills đang dùng và chú ý các thông báo an toàn của nền tảng. Đặc biệt, trước khi thực thi các thao tác nguy hiểm, hãy bật chức năng “Xác nhận thủ công (HITL)”.

Việc ClawHub dựa vào đăng nhập GitHub có nên chuyển sang phương thức xác thực khác không?
Về mặt an ninh, việc phụ thuộc vào một nhà cung cấp OAuth duy nhất như GitHub thực sự tạo ra rủi ro điểm yếu đơn lẻ — nếu chứng chỉ của GitHub bị lộ, tài khoản ClawHub cũng dễ bị xâm phạm. Các giải pháp an toàn hơn bao gồm: thêm xác thực đa yếu tố (MFA), cho phép tạo tài khoản riêng biệt, hoặc thêm lớp xác thực thủ công hoặc tự động cho các thao tác phát hành Skills. Đây là hướng mà nền tảng cần tiếp tục cải thiện về cơ chế tin cậy của nhà phát triển.

Việc Tencent SkillHub thu thập dữ liệu có vi phạm giấy phép mã nguồn mở không?
Điều này phụ thuộc vào điều khoản cấp phép cụ thể của OpenClaw và ClawHub. SkillHub dựa vào việc sử dụng mirror và ghi rõ nguồn gốc như một hình thức sử dụng hợp lý, nhưng các ý kiến phản đối của Steinberger chủ yếu liên quan đến đạo đức hỗ trợ hệ sinh thái — việc sử dụng thành quả cộng đồng mà thiếu đóng góp thực chất hoặc hỗ trợ thương mại cho dự án mã nguồn mở. Tranh cãi này khá phổ biến trong cộng đồng mã nguồn mở, thường cần được giải quyết qua các điều khoản cấp phép rõ ràng hơn và hợp tác thương mại minh bạch.