Các tác giả của bài báo Transformer tái tạo tôm hùm, chia tay lỗ hổng mở OpenClaw

Nguồn: | 量子位

Có bao nhiêu con tôm hùm đang chạy trần trên internet?

Các AI thông minh mang theo mật khẩu và API của bạn bị lộ ra toàn mạng.

Tác giả Transformer Illia Polosukhin không thể chịu nổi nữa. Ông đã bắt tay xây dựng lại phiên bản an toàn của tôm hùm: IronClaw.

Hiện tại, IronClaw đã mở mã nguồn trên GitHub, cung cấp các gói cài đặt cho macOS, Linux và Windows, hỗ trợ triển khai tại chỗ cũng như qua đám mây. Dự án vẫn đang trong giai đoạn phát triển nhanh, phiên bản v0.15.0 đã có thể tải xuống dưới dạng binary.

Polosukhin (gọi tắt là anh Bưởi) còn đăng bài phản hồi tất cả trên diễn đàn Reddit, thu hút nhiều sự chú ý.

01 OpenClaw nổi bật, nhưng cũng “bốc cháy”

Anh Bưởi cũng là người dùng sớm của OpenClaw, và gọi đây là công nghệ mà ông đã chờ đợi suốt 20 năm.

Nó đã thay đổi cách tôi tương tác với máy tính.

Tuy nhiên, tình hình an toàn của OpenClaw thật sự là thảm họa, với các lỗ hổng như thực thi mã từ xa chỉ với một nút nhấn, tấn công tiêm lệnh, trộm mật khẩu qua các kỹ năng độc hại, tất cả đều bị phơi bày trong hệ sinh thái của OpenClaw.

Hơn 25.000 ví dụ công khai bị phơi bày trên internet mà không có kiểm soát an toàn đầy đủ, bị các chuyên gia an ninh gọi là “đám cháy rác thải an ninh” (security dumpster fire).

Nguyên nhân chính nằm ở chính kiến trúc của nó.

Khi người dùng gửi token Bearer của email cho OpenClaw, dữ liệu sẽ được gửi trực tiếp đến máy chủ của nhà cung cấp LLM.

Anh Bưởi chỉ ra trên Reddit rằng điều này có nghĩa gì:

Tất cả thông tin của bạn, kể cả dữ liệu bạn không rõ ràng cho phép, đều có thể bị bất kỳ nhân viên nào của công ty truy cập. Điều này cũng đúng với dữ liệu của nhà tuyển dụng của bạn. Không phải là các công ty này có ý xấu, mà thực tế là người dùng không có quyền riêng tư thực sự.

Anh nói rằng, dù tiện lợi đến đâu cũng không đáng để mạo hiểm an toàn và quyền riêng tư của bản thân và gia đình.

02 Xây dựng lại mọi thứ từ Rust

IronClaw được viết lại hoàn toàn dựa trên Rust, ngôn ngữ lập trình an toàn về bộ nhớ.

Khả năng an toàn bộ nhớ của Rust có thể loại bỏ căn bản các lỗ hổng truyền thống như tràn bộ đệm, điều này đặc biệt quan trọng đối với các hệ thống xử lý khóa riêng và thông tin xác thực của người dùng.

Về mặt kiến trúc an toàn, IronClaw xây dựng bốn lớp phòng thủ sâu.

Lớp thứ nhất là khả năng đảm bảo an toàn bộ nhớ của chính Rust.

Lớp thứ hai là cách ly sandbox của WASM, tất cả các công cụ của bên thứ ba và mã do AI sinh ra đều chạy trong các container WebAssembly riêng biệt, ngay cả khi một công cụ nào đó độc hại, phạm vi phá hoại của nó cũng bị giới hạn trong sandbox.

Lớp thứ ba là kho bảo mật chứng thực mã hóa, tất cả API key và mật khẩu đều được mã hóa bằng AES-256-GCM, mỗi chứng thực đều gắn kèm quy tắc chính sách, quy định nó chỉ được dùng trong các tên miền nhất định.

Lớp thứ tư là môi trường thực thi tin cậy (TEE), sử dụng cách ly phần cứng để bảo vệ dữ liệu, ngay cả nhà cung cấp dịch vụ đám mây cũng không thể truy cập thông tin nhạy cảm của người dùng.

Điểm mấu chốt trong thiết kế này là: mô hình lớn (large model) không bao giờ tiếp xúc trực tiếp với chứng thực gốc.

Chỉ khi AI cần giao tiếp với dịch vụ bên ngoài, chứng thực mới được chèn vào tại biên giới mạng.

Anh Bưởi lấy ví dụ, ngay cả khi mô hình lớn bị tấn công tiêm lệnh, cố gắng gửi token OAuth của Google của người dùng cho kẻ tấn công, lớp lưu trữ chứng thực sẽ từ chối yêu cầu này, ghi log và gửi cảnh báo tới người dùng.

Tuy nhiên, cộng đồng nhà phát triển vẫn còn lo lắng, vì đã có hơn 2000 ví dụ công khai của OpenClaw bị tấn công, cùng với nhiều kỹ năng độc hại khác, nếu IronClaw nổi tiếng, liệu có lặp lại quá khứ?

Anh Bưởi trả lời rằng, kiến trúc của IronClaw đã từ căn bản chặn đứng các lỗ hổng cốt lõi của OpenClaw. Chứng thực luôn được mã hóa và không tiếp xúc với LLM, các kỹ năng của bên thứ ba không thể chạy script trên máy chủ chính, chỉ có thể chạy trong container.

Ngay cả khi truy cập qua CLI, cũng cần khóa hệ thống của người dùng để giải mã, và khóa mã hóa lấy ra không có ý nghĩa gì.

Anh cũng nói rằng, khi phiên bản cốt lõi ổn định hơn, nhóm sẽ tiến hành kiểm thử đỏ (red team) và kiểm tra an ninh chuyên nghiệp.

Về vấn đề tiêm lệnh, một vấn đề đã được cộng đồng công nhận, anh Bưởi đưa ra hướng tiếp cận chi tiết hơn.

Hiện tại, IronClaw sử dụng quy tắc gợi ý để phát hiện mẫu, trong tương lai sẽ triển khai một bộ phân loại ngôn ngữ nhỏ có thể cập nhật liên tục để nhận diện các mẫu tiêm lệnh.

Nhưng anh cũng thừa nhận, tiêm lệnh không chỉ có thể trộm chứng thực, mà còn có thể chỉnh sửa trực tiếp mã nguồn của người dùng hoặc gửi tin nhắn độc hại qua các công cụ liên lạc.

Để đối phó với các cuộc tấn công này, cần một hệ thống chiến lược thông minh hơn, có thể kiểm tra ý định hành vi của AI mà không cần xem nội dung đầu vào, “cần nhiều công sức hơn nữa, mong cộng đồng đóng góp.”

Có người hỏi về lựa chọn triển khai tại chỗ hay qua đám mây.

Anh Bưởi cho rằng, phương án hoàn toàn tại chỗ có những hạn chế rõ ràng, khi tắt máy thì AI cũng dừng hoạt động, tiêu thụ năng lượng trên di động quá lớn, các nhiệm vụ dài hạn phức tạp cũng không thể thực hiện.

Anh cho rằng, đám mây bảo mật (confidential cloud) hiện là phương án cân bằng tối ưu, vừa có thể đảm bảo quyền riêng tư gần như tại chỗ, vừa giải quyết được vấn đề “luôn luôn trực tuyến.”

Anh còn đề cập một chi tiết nhỏ: người dùng có thể thiết lập chính sách, ví dụ như khi đi du lịch qua biên giới, tự động thêm các lớp bảo vệ an toàn để tránh truy cập trái phép.

03 Một tham vọng lớn hơn

Anh Bưởi không phải là nhà phát triển mã nguồn mở bình thường.

Năm 2017, ông là một trong tám tác giả cùng công bố bài báo “Attention Is All You Need”, trong đó đề xuất kiến trúc Transformer đã đặt nền móng cho tất cả các mô hình ngôn ngữ lớn ngày nay.

Dù tên ông đứng cuối danh sách, nhưng trong chú thích của bài báo có ghi rõ “Equal contribution. Listing order is random.” (Đóng góp ngang nhau. Thứ tự xếp hạng là ngẫu nhiên.)

Cùng năm đó, ông rời Google, thành lập NEAR Protocol, nhằm mục tiêu kết hợp AI và công nghệ blockchain.

Phía sau IronClaw là một chiến lược lớn hơn của NEAR Protocol: AI do người dùng sở hữu (User-Owned AI).

Trong tầm nhìn này, người dùng hoàn toàn kiểm soát dữ liệu và tài sản của mình, AI thông minh thay mặt người dùng thực hiện các nhiệm vụ trong môi trường đáng tin cậy.

NEAR đã xây dựng nền tảng đám mây AI và thị trường GPU phi tập trung để hỗ trợ, IronClaw chính là lớp runtime của hệ thống này.

Anh còn phát triển một thị trường thuê mướn các AI thông minh lẫn nhau.

Trên NEAR tại market.near.ai, người dùng có thể đăng ký các AI chuyên môn của mình, và khi các AI này tích lũy uy tín, chúng sẽ nhận được nhiều nhiệm vụ giá trị cao hơn.

Khi được hỏi về cách người bình thường có thể thích nghi với kỷ nguyên AI trong 5 năm tới, anh Bưởi khuyên nên nhanh chóng áp dụng cách làm việc bằng AI, học cách để AI tự động hóa toàn bộ quy trình công việc.

Quan điểm này không phải là mới mẻ, từ khi thành lập NEAR AI năm 2017, anh đã nói với mọi người: “Trong tương lai, bạn chỉ cần nói chuyện với máy tính, không cần viết mã nữa.”

Lúc đó, mọi người nghĩ họ điên, đó chỉ là chuyện vớ vẩn.

Chín năm trôi qua, điều này đang trở thành hiện thực.

“AI thông minh là giao diện cuối cùng để con người tương tác với mọi thứ trực tuyến,” Polosukhin viết, “nhưng hãy làm cho nó an toàn.”