CertiK cảnh báo AI agent OpenClaw có thể rút sạch ví crypto qua “malicious skills”

OpenClaw là một trong những ví dụ mới nhất cho thấy hệ sinh thái AI agent đang mở rộng rất nhanh, nhưng cơ chế kiểm soát an toàn vẫn chưa theo kịp. Khi một tác nhân AI được cấp quyền truy cập ví, trình duyệt, email hoặc các ứng dụng Web3, chỉ một gói “skill” được cài đặt sai cách cũng có thể tạo ra lỗ hổng đủ lớn để kẻ xấu lợi dụng.

Rủi ro từ các “skill” độc hại trong AI agent

Khái niệm “malicious skills” đang trở thành mối lo đáng chú ý trong cộng đồng an ninh mạng. Đây là những thành phần mở rộng được ngụy trang như tính năng hữu ích, nhưng thực chất có thể thu thập dữ liệu nhạy cảm, chuyển hướng giao dịch, hoặc thao túng quy trình ra quyết định của AI agent.

Trong bối cảnh crypto, mức độ nguy hiểm càng cao hơn. Một AI agent có thể được giao nhiệm vụ hỗ trợ giao dịch, theo dõi danh mục đầu tư hoặc tự động tương tác với dApp. Nếu thành phần mở rộng bị cài mã độc, kẻ tấn công có thể lợi dụng quyền cấp sẵn để thực hiện thao tác rút tiền, ký giao dịch không mong muốn hoặc lừa người dùng chấp thuận các yêu cầu nguy hiểm.

Vì sao người dùng phổ thông dễ trở thành mục tiêu

CertiK nhấn mạnh rằng nhóm người dùng thiếu kinh nghiệm thường dễ tin vào giao diện thân thiện và các lời quảng bá về sự tiện lợi của AI agent. Điều này khiến họ có xu hướng cấp nhiều quyền hơn mức cần thiết mà không kiểm tra kỹ nguồn gốc của các plugin, repository hay gói mở rộng đi kèm.

Vấn đề nằm ở chỗ các cuộc tấn công kiểu này không cần xâm nhập trực tiếp vào ví ngay lập tức. Chỉ cần một lần cài đặt thành phần độc hại, kẻ xấu có thể âm thầm theo dõi hành vi, thu thập thông tin đăng nhập, hoặc chờ thời điểm người dùng xác nhận giao dịch để can thiệp.

Các dấu hiệu cần đặc biệt chú ý

Người dùng nên cảnh giác với những AI agent yêu cầu quyền truy cập quá rộng, không công khai rõ mã nguồn, hoặc không có tài liệu bảo mật minh bạch. Bất kỳ công cụ nào hứa hẹn tự động hóa sâu trong môi trường crypto nhưng thiếu cơ chế kiểm soát quyền đều có thể trở thành điểm rủi ro.

Ngoài ra, nếu một “skill” mới yêu cầu kết nối ví, ký lệnh, hoặc tương tác với nhiều dịch vụ bên thứ ba mà không giải thích cụ thể mục đích, đó là dấu hiệu nên dừng lại và kiểm tra kỹ trước khi tiếp tục.

Cần thận trọng hơn khi AI bước vào Web3

AI agent và Web3 đang dần giao thoa, tạo ra nhiều cơ hội tự động hóa mới cho nhà đầu tư, trader và người dùng phổ thông. Tuy nhiên, càng nhiều quyền được trao cho một hệ thống tự động, bề mặt tấn công càng lớn. CertiK cho rằng đây là thời điểm cần ưu tiên bảo mật, thay vì chạy theo sự tiện lợi một cách mù quáng.

Với những người không có kinh nghiệm kỹ thuật sâu, lựa chọn an toàn nhất là hạn chế cài đặt các tác nhân AI chưa được kiểm chứng, đặc biệt khi chúng liên quan trực tiếp đến tài sản số. Trong thị trường crypto, một thao tác sai hoặc một plugin độc hại cũng có thể dẫn đến thiệt hại không thể đảo ngược.

Thông điệp từ CertiK khá rõ ràng: AI agent có thể hữu ích, nhưng nếu thiếu kiểm soát, chính những “kỹ năng” được cài thêm có thể biến chúng thành công cụ rút sạch ví crypto.