en
new
+2
Avatar
Infinity News @infinitynews.net
124 13 0
Published khoảng 8 giờ trước
in Infinity
23 min read
29

OpenClaw là gì? Hướng dẫn cài đặt OpenClaw an toàn ngay từ đầu

OpenClaw là AI assistant mã nguồn mở tự host, kết nối model AI với terminal, file và ứng dụng nhắn tin để hành động thay vì chỉ trả lời, nhưng đã ghi nhận hơn 60 lỗ hổng bảo mật và một vụ tấn công chuỗi cung ứng lớn từ khi ra mắt. Vụ tấn công ClawHavoc ngày 1/2/2026 phát hiện 341 trong số 2.857 skill trên ClawHub là độc hại, đánh cắp mật khẩu trình duyệt, ví crypto và SSH key qua Atomic macOS Stealer.

Tóm tắt các điểm chính

Infinity News phân tích cách OpenClaw hoạt động, các rủi ro bảo mật cụ thể cần biết trước khi cài, hướng dẫn thiết lập an toàn, và so sánh với ChatGPT, Claude Code, Cursor, Zapier để xác định OpenClaw có thực sự phù hợp với nhu cầu của bạn.

  1. OpenClaw tăng từ 9.000 star ngày đầu lên hơn 195.000 star trong 66 ngày, nhanh hơn Kubernetes 18 lần, đạt 346.000 star vào tháng 4/2026.
  2. CVE-2026-25253 (CVSS 8.8) và CVE-2026-32922 (CVSS 9.9) là hai lỗ hổng nghiêm trọng nhất, với hơn 220.000 instance từng public trên internet ở thời điểm đỉnh.
  3. ClawHavoc lây nhiễm qua social engineering: hướng dẫn giả "Prerequisites" yêu cầu người dùng paste shell command.
  4. Một tác vụ tự động mở (open-ended) không giới hạn token từng tiêu tốn vài nghìn USD chi phí API trong một ngày.
  5. Người sáng lập Peter Steinberger gia nhập OpenAI ngày 15/2/2026, dự án vẫn giữ MIT license và do cộng đồng nắm giữ.

OpenClaw khác Chatbot thông thường ở khả năng hành động thực tế

OpenClaw không phải là một AI model mà là runtime kết nối model AI (cloud hoặc local) với các công cụ thực thi: shell, file system, trình duyệt, và ứng dụng nhắn tin. Gửi một tin nhắn WhatsApp, OpenClaw có thể tìm kiếm trên ổ đĩa, chạy shell script, kiểm tra một trang web, và trả lời ngay trong cùng thread. Chatbot thông thường không làm được điều này.

OpenClaw miễn phí, mã nguồn mở (giấy phép MIT), thiết kế để chạy trên phần cứng người dùng tự sở hữu. Peter Steinberger, lập trình viên người Áo nổi tiếng với PSPDFKit, tạo ra dự án và ra mắt vào tháng 11/2025 dưới tên Clawdbot. Anthropic gửi khiếu nại về thương hiệu, dự án đổi tên thành Moltbot ngày 27/1/2026, rồi đổi tiếp thành OpenClaw ba ngày sau đó. Linh vật tôm hùm Molty giữ nguyên qua mọi lần đổi tên.

Kiến trúc OpenClaw Kiến trúc OpenClaw, request người dùng đi qua Gateway, model AI, và quay lại qua tools

Lõi của hệ thống là một service Node.js gọi là Gateway, chạy nền tại cổng 18789, định tuyến tin nhắn giữa ứng dụng chat và model, thực thi tool call, và giữ API key để các ứng dụng kết nối không bao giờ chạm trực tiếp vào key.

Vì sao OpenClaw tăng trưởng nhanh hơn Kubernetes 18 lần

OpenClaw tăng từ 9.000 GitHub star ngày đầu lên hơn 195.000 star trong 66 ngày, theo báo cáo nhanh hơn Kubernetes 18 lần. Developer đã chờ đợi một assistant hoàn thành tác vụ thay vì chỉ trả lời, chạy trên phần cứng riêng, và kết nối được với các ứng dụng họ đang dùng.

Đến tháng 4/2026, dự án vượt mốc 346.000 star. Steinberger công bố gia nhập OpenAI ngày 15/2/2026, dự án chuyển sang cấu trúc foundation với sự hậu thuẫn của OpenAI nhưng vẫn giữ giấy phép MIT, không bị thâu tóm theo nghĩa truyền thống.

Đánh giá từ cộng đồng không đồng nhất. Một số người dùng thích ý tưởng này, số khác gặp vấn đề về thiết lập, độ tin cậy và chi phí. Automation phức tạp thường gây thất vọng nhiều hơn mang lại hiệu quả, chi phí token cũng khiến nhiều người bất ngờ. Quá trình cài đặt không thân thiện với người mới.

Gateway kiểm soát toàn bộ luồng hành động của OpenClaw

Mọi hành động của OpenClaw đều đi qua Gateway, điểm kiểm soát duy nhất này là yếu tố phân biệt OpenClaw với một model wrapper thông thường.

Kiến trúc OpenClaw Kiến trúc OpenClaw, request người dùng đi qua Gateway, model AI, và quay lại qua tools.

Khi người dùng gửi tin nhắn, Gateway nhận từ kênh đang dùng, gắn thêm context từ file memory và skill đã load, rồi chuyển gói dữ liệu này cho model AI đã cấu hình. Nếu model muốn thực hiện hành động (chạy lệnh, truy cập trang web, đọc file), nó gửi tín hiệu ý định về Gateway. Gateway thực thi hành động trên hệ thống host, hoặc trong sandbox nếu đã thiết lập, rồi trả kết quả về. Model có thể nối chuỗi nhiều bước trước khi đưa ra phản hồi cuối cùng.

Model không bao giờ giao tiếp trực tiếp với file system hoặc terminal của bạn.

Memory lưu trong File Markdown thuần, đọc lại mỗi phiên

OpenClaw lưu memory dưới dạng file Markdown thuần trong agent workspace (~/.openclaw/workspace). File MEMORY.md chứa thông tin và sở thích bền vững, load ở đầu mỗi phiên. SOUL.md định nghĩa tính cách và giọng điệu. AGENTS.md lưu quy tắc hành vi. Vì model đọc lại toàn bộ các file này khi bắt đầu phiên, chỉnh sửa của bạn vẫn tồn tại qua các lần khởi động lại.

Lịch chạy hoạt động theo hai track. Heartbeat là các lần check-in định kỳ trong phiên chính, mặc định mỗi 30 phút với hầu hết provider. File HEARTBEAT.md liệt kê checklist agent cần xem xét mỗi lần. Cron job chạy đúng giờ trong phiên cách ly riêng, phù hợp khi thời điểm thực sự quan trọng như báo cáo hàng ngày. Cả hai đều tiêu tốn token mỗi lần thực thi, vì vậy tác vụ mở cần có điều kiện dừng rõ ràng.

OpenClaw hỗ trợ nhiều Model Provider và kênh tin nhắn

OpenClaw không gắn với một provider model duy nhất. Hệ thống hoạt động với Anthropic, OpenAI, Google, AWS Bedrock, và local server qua Ollama hoặc LM Studio. Model local cần tối thiểu 64.000 token context window do lượng context lớn OpenClaw inject vào đầu phiên. Về kênh kết nối, OpenClaw hỗ trợ WhatsApp, Telegram, Discord, Slack, Google Chat, Signal, iMessage, Matrix, Microsoft Teams và nhiều kênh khác.

OpenClaw thực sự làm tốt những tác vụ nào

Mức độ hữu ích của OpenClaw phụ thuộc vào việc tác vụ được định nghĩa chặt chẽ đến đâu. Yêu cầu mơ hồ dễ trôi khỏi mục tiêu, tác vụ hẹp và lặp lại với input rõ ràng hoạt động tốt hơn nhiều.

  • Năng suất cá nhân: Use case được báo cáo đáng tin cậy nhất là bản tóm tắt buổi sáng, một tác vụ lên lịch heartbeat lấy email gần đây, sự kiện lịch, và tin tức, rồi gửi digest về điện thoại.
  • Workflow developer: OpenClaw có thể kiểm tra repository, chạy build script, xem log, và quản lý pull request qua GitHub CLI hoặc MCP server. Nên dùng token giới hạn phạm vi repository có ngày hết hạn. Quyền truy cập shell rộng vừa hữu ích vừa là nguồn gốc dễ gây xóa file ngoài ý muốn hoặc rò rỉ credential từ file .env nằm trong phạm vi truy cập.
  • Tự động hóa web: Agent có thể duyệt trang, trích xuất dữ liệu, và tương tác với giao diện trình duyệt qua Chrome DevTools Protocol. Điều agent không làm được là phân biệt một trang thật với một trang chứa instruction độc hại nhúng trong HTML. Một khi đã cấp quyền trình duyệt cho agent, nội dung bên ngoài trở thành bề mặt tấn công.
  • Quản lý file và tài liệu: Hoạt động tốt khi workspace root là một thư mục riêng không chứa thông tin nhạy cảm. Lỗi thường gặp dễ đoán: cấp quyền truy cập thư mục home, agent cuối cùng sẽ đọc thứ bạn không muốn chia sẻ.
  • Tự động hóa theo lịch: Đáng tin cậy cho tác vụ lặp lại, được định nghĩa rõ ràng. Một trường hợp ghi nhận đạt vài nghìn USD chi phí API trong một ngày từ một tác vụ mở chạy không có giới hạn token. Đặt giới hạn trước khi đặt lịch.

Skill mở rộng khả năng OpenClaw nhưng cũng là nguồn gốc bị tấn công

Skill là cách người dùng mở rộng OpenClaw vượt khả năng tích hợp sẵn, đồng thời cũng là cách dự án bị tấn công chuỗi cung ứng nghiêm trọng nhất trong không gian agent mã nguồn mở.

Skill OpenClaw

Một skill là thư mục chứa file SKILL.md với YAML frontmatter và phần nội dung Markdown. Frontmatter khai báo tên skill, mô tả, binary bắt buộc, và biến môi trường. Phần thân Markdown là ngôn ngữ tự nhiên: instruction mà agent tuân theo khi xác định skill phù hợp với tác vụ hiện tại. Vì skill là văn bản chứ không phải code biên dịch, bạn có thể đọc trước khi chạy bất cứ thứ gì.

Skill tuân theo chuẩn mở AgentSkills, nên định dạng này cũng hoạt động với Claude Code, Cursor và các công cụ tương tự. Trên thực tế, phần lớn skill trên ClawHub được viết riêng cho gateway model của OpenClaw và phụ thuộc vào quyền truy cập tool mà các môi trường khác không cung cấp.

ClawHub, registry công khai tại clawhub.ai, dùng vector-based semantic search nên có thể tìm skill bằng truy vấn ngôn ngữ tự nhiên. Để publish cần tài khoản GitHub tối thiểu một tuần tuổi. Registry đạt hơn 44.000 skill vào đầu 2026.

Vụ ClawHavoc phát hiện 341 Skill độc hại Audit duy nhất

Ngày 1/2/2026, nhà nghiên cứu Oren Yomtov của Koi Security audit toàn bộ 2.857 skill trên ClawHub và phát hiện 341 skill độc hại, 335 trong số đó thuộc một chiến dịch phối hợp duy nhất mang tên ClawHavoc. Chiến dịch dùng social engineering: một mục "Prerequisites" giả yêu cầu người dùng paste shell command. Trên macOS, payload là Atomic macOS Stealer, thu thập mật khẩu trình duyệt, dữ liệu keychain, ví cryptocurrency, SSH key, và dữ liệu phiên Telegram.

Tình hình tiếp tục xấu đi. Đến giữa tháng 2, registry vượt mốc 10.700 skill, phân tích sau đó cho thấy tổng số skill độc hại vượt 1.000 trên nhiều tài khoản khác nhau. Một đợt audit rộng hơn trên hơn 31.000 skill đánh dấu khoảng 7,6% là rủi ro, và một lần scan của Snyk phát hiện 36% chứa prompt injection có thể nhận diện được.

ClawHub hiện chạy automated scan và tích hợp VirusTotal, bắt được phần lớn nguy cơ, nhưng prompt injection trong văn bản instruction vẫn có thể lọt qua. Đọc file SKILL.md trước khi cài bất cứ thứ gì, và nếu nó yêu cầu paste command hoặc cài binary ngoài quy trình thông thường, bỏ qua ngay. Không nên cài hàng loạt skill bên thứ ba ngay từ ngày đầu. Bắt đầu với mức tối thiểu cần thiết và giữ skill chưa rõ nguồn gốc tránh xa file và tài khoản nhạy cảm.

Skill OpenClaw rủi ro hơn Claude Skills vì chạy trực tiếp trên máy của người dùng

Cả hai định dạng đều dùng chung cấu trúc SKILL.md. Khác biệt nằm ở nơi skill được thực thi. Claude Skills chạy bên trong hạ tầng được quản lý của Anthropic. Skill OpenClaw chạy trên máy người dùng, bên trong ranh giới tin cậy đầy đủ của agent, với quyền truy cập file local, lệnh shell, và phiên trình duyệt. Khoảng cách về bán kính ảnh hưởng (blast radius) này là lý do rủi ro chuỗi cung ứng quan trọng hơn nhiều so với môi trường được host.

Hai lỗ hổng CVE nghiêm trọng từng bị khai thác trên OpenClaw

OpenClaw ghi nhận hơn 60 cảnh báo bảo mật kể từ khi ra mắt, trong đó hai lỗ hổng CVE đạt mức nghiêm trọng cao và từng bị khai thác trên người dùng thật.

  • CVE-2026-25253 (CVSS 8.8) là lỗ hổng từng bị khai thác chủ động. Trước phiên bản 2026.1.29, một đường link độc hại có thể âm thầm chuyển hướng kết nối WebSocket của control interface đến server do kẻ tấn công kiểm soát. Token xác thực và device key của nạn nhân được gửi tự động trong quá trình handshake, chỉ cần một cú click vào link được tạo sẵn là đủ. Kẻ tấn công nắm được các thông tin này sẽ có toàn quyền kiểm soát Gateway và chạy được lệnh shell tùy ý. Bản vá 2026.1.29 thêm bước xác nhận để chặn lỗ hổng này.
  • CVE-2026-32922 (CVSS 9.9) được công bố ngày 29/3/2026. Một caller với token scope tối thiểu có thể leo thang lên quyền admin đầy đủ và đạt remote code execution trên toàn bộ node kết nối. Đã vá trong bản 2026.3.11. Nếu instance của bạn cũ hơn phiên bản này, cần cập nhật ngay.

Hơn 220.000 Instance OpenClaw từng public Internet ở thời đỉnh điểm

Như đã đề cập, hơn 220.000 instance từng bị public trên internet ở thời điểm đỉnh, với hơn 17.500 instance dễ tổn thương trước nhóm tấn công thuộc loại CVE-2026-25253. Cấu hình mặc định hiện tại đã bind về loopback, nhưng cấu hình cũ và tutorial cộng đồng không phải lúc nào cũng phản ánh điều này.

Prompt injection là vấn đề tinh vi hơn. OpenClaw đọc trang web, email, tài liệu, và log như một phần công việc bình thường. Nếu bất kỳ nội dung nào trong số đó chứa instruction độc hại, agent có thể làm theo. Case study của Promptfoo từ tháng 3/2026 cho thấy một agent kiểm tra những gì nó có thể truy cập, đọc file local, ghi file, và gửi tin nhắn không được ủy quyền, tất cả chỉ kích hoạt từ việc truy cập một trang web. Lỗ hổng xảy ra vì duyệt web, truy cập file, và gửi tin nhắn ra ngoài đều chia sẻ chung một ranh giới tin cậy mà không có sự tách biệt.

Nghiêm trọng hơn, instruction độc hại cấy vào SOUL.md hoặc AGENTS.md tồn tại xuyên suốt các phiên và lần khởi động lại. Agent mang theo các instruction này về sau mà không cần bất kỳ trigger bên ngoài nào.

Hướng dẫn cài đặt OpenClaw an toàn ngay từ đầu

Cài đặt OpenClaw cần Node.js 24 (Node 22.19 cũng chạy được) và một API key từ provider model được hỗ trợ, hoặc một local model server đạt tối thiểu 64.000 token context. Trên Windows, WSL2 với Ubuntu là lựa chọn được khuyến nghị, Windows gốc có hạn chế quanh gateway daemon.

Một quyết định cần đưa ra trước: hệ thống sẽ chạy ở đâu? Máy local phù hợp để thử nghiệm, nhưng cho bất kỳ tác vụ chạy liên tục nào, nên dùng VPS riêng hoặc máy tách biệt thay vì máy làm việc chính.

Quy trình cài đặt nâng cao

Cài đặt bằng lệnh:

curl -fsSL https://openclaw.ai/install.sh | bash

Chạy wizard onboarding:

openclaw onboard --install-daemon

Bước này dẫn qua việc chọn model provider, thiết lập API key, và cấu hình Gateway. Sau khi hoàn tất, xác nhận Gateway đang chạy:

openclaw gateway status

Mở dashboard:

openclaw dashboard

Gửi một tin nhắn test từ kênh ít rủi ro trước khi kết nối bất kỳ thứ gì nhạy cảm.

Giao diện điều khiển tại cổng 18789 Giao diện điều khiển tại cổng 18789.

Hai lệnh Firewall cần chạy ngay sau khi cài

Hai lệnh firewall sau quan trọng hơn mọi bước khác, cần chạy ngay trước khi làm bất cứ điều gì khác:

openclaw config set gateway.bind localhost
sudo ufw deny 18789/tcp

Lệnh đầu bind Gateway chỉ về loopback. Lệnh sau chặn cổng từ bên ngoài. Như đã nêu, hơn 220.000 instance OpenClaw từng public trên internet ở đỉnh điểm, phần lớn do người dùng bỏ qua bước này khi làm theo tutorial cũ.

Các bước bổ sung: dùng browser profile riêng cho mọi tác vụ tự động hóa trình duyệt, chạy openclaw security audit --deep sau khi cài bất kỳ skill nào, dùng authentication token, và giữ file nhạy cảm tránh xa workspace root.

Chạy local không đồng nghĩa với chạy an toàn. Một instance local có quyền truy cập shell, file, và ứng dụng nhắn tin kết nối vẫn là bề mặt tấn công thật sự, bất kể model chạy ở đâu.

Output lệnh security audit sau khi cài skill Output lệnh security audit sau khi cài skill

OpenClaw so với ChatGPT, Claude Code, Cursor và Zapier

OpenClaw phù hợp với tự động hóa cá nhân xuyên công cụ trên phần cứng riêng, trong khi ChatGPT/Claude phù hợp câu hỏi chung, Claude Code/Cursor phù hợp coding trong repository, và Zapier/n8n phù hợp workflow có thể audit được.

Loại công cụ Phù hợp với Điểm mạnh cốt lõi Điểm yếu chính Khi nào nên chọn
ChatGPT hoặc Claude Câu hỏi chung, viết, phân tích một lần Không cần setup, giao diện quen thuộc Stateless, không truy cập local hoặc lên lịch tác vụ Khi không cần hành động thực tế
Claude Code hoặc Cursor Tác vụ coding trong repository Context code sâu, chỉnh sửa tự động Giới hạn trong workflow coding Khi tác vụ thuần túy là phát triển phần mềm
Zapier hoặc n8n Automation workflow có thể dự đoán, audit được Thực thi xác định, tích hợp rộng Khó xử lý tác vụ mơ hồ, phụ thuộc context Cho luồng quan trọng mà sai sót gây tốn kém
OpenClaw Automation cá nhân xuyên công cụ trên phần cứng riêng Memory bền vững, truy cập tool local, đa kênh Độ phức tạp setup cao, bảo mật do người dùng tự quản lý Cho automation kỹ thuật cá nhân nơi bạn chấp nhận tự chịu rủi ro

ChatGPT và Claude là giao diện chat stateless: không có tác vụ lên lịch bền vững, không truy cập file local theo mặc định. Claude Code và Cursor giới hạn trong phát triển phần mềm trong một repository, mạnh hơn OpenClaw về code nhưng chỉ làm được việc đó. Claude Code cũng thêm tính năng lên lịch cloud-hosted gọi là Routines vào tháng 4/2026, đảm nhận một phần việc mà HEARTBEAT của OpenClaw làm mà không cần gánh nặng hạ tầng.

Zapier và n8n là công cụ workflow xác định, mỗi bước được định nghĩa trước, giúp dễ audit hơn nhưng kém linh hoạt hơn agent diễn giải yêu cầu bằng ngôn ngữ tự nhiên.

Một cách định khung hữu ích từ cộng đồng 2026: OpenClaw đóng vai trò lớp suy luận cho tác vụ mơ hồ, n8n hoặc Zapier đóng vai trò lớp thực thi cho tác vụ khối lượng lớn, có thể dự đoán, kết nối qua webhook. Hai loại công cụ này không phải lúc nào cũng cạnh tranh nhau.

OpenClaw phù hợp với ai?

OpenClaw phù hợp nhất với developer tự động hóa workflow kỹ thuật lặp lại và nhà nghiên cứu agent sử dụng tool, người dùng homelab đã quen quản lý dịch vụ tự host sẽ thấy quá trình setup quen thuộc.

Người chưa thoải mái với lệnh terminal, quyền file, và quản lý API key nên chờ thêm. Quá trình setup không thân thiện với người mới. Người xử lý file nhạy cảm mà không có môi trường sandbox cũng nên tạm hoãn. Team có yêu cầu compliance có thể cần giải pháp được quản lý như AWS Bedrock Agents. Và nếu bạn không sẵn sàng kiểm tra code của skill cộng đồng trước khi cài, tốt nhất không nên chạy skill ClawHub trên máy có credential thật.

Kết Luận

OpenClaw quan trọng vì nó cho thấy AI agent cá nhân trông như thế nào khi có thể hành động thực sự: không phải chatbot thông minh hơn, mà là hệ thống có quyền truy cập file, shell, trình duyệt và ứng dụng nhắn tin của bạn.

Rủi ro cũng nghiêm trọng tương ứng. Quyền truy cập giúp một bản tóm tắt buổi sáng hay một workflow review pull request trở nên khả thi cũng chính là quyền truy cập mà ClawHavoc biến thành công cụ đánh cắp credential.

Bắt đầu với một tác vụ duy nhất. Chạy trong môi trường cách ly. Đặt giới hạn rõ ràng. Xem xét kỹ skill trước khi cài. OpenClaw không phải sản phẩm triển khai rồi quên đi, mà là hạ tầng, và đối xử với nó như hạ tầng ngay từ đầu là điều giữ cho một thử nghiệm không biến thành sự cố thật.

openclaw

All Rights Reserved

Table of contents


Viblo
Let's register a Viblo Account to get more interesting posts.
Register