Cùng với việc dự án AI mã nguồn mở OpenClaw trên GitHub đạt hơn 320.000 sao và vươn lên top 10 kho lưu trữ phổ biến toàn cầu, các hacker đang nhắm vào miếng bánh béo bở này. Công ty an ninh mạng OX Security cho biết, gần đây đã xuất hiện các hoạt động phishing quy mô lớn nhắm vào các nhà phát triển, trong đó hacker lợi dụng chức năng đánh dấu (tag) của GitHub để phát tán thông điệp giả mạo về việc nhận “CLAW token trị giá 5.000 USD”, nhằm lừa người dùng nhấp vào liên kết và đánh cắp ví tiền mã hóa.
(Thông tin trước đó: Toàn văn bài phát biểu của Huang Renxun tại GTC2026: Nhu cầu AI đạt hàng nghìn tỷ USD, sức mạnh tính toán tăng 350 lần, OpenClaw biến mọi công ty thành AaaS)
(Bổ sung bối cảnh: Bộ An ninh Quốc gia Trung Quốc cảnh báo “Nuôi tôm hùm”: OpenClaw chứa bốn mìn an ninh lớn, thiết bị của bạn có thể bị chiếm quyền điều khiển)
Mục lục bài viết
Chuyển đổi
- Chức năng “đánh dấu” của GitHub bị chiếm đoạt bởi phần mềm độc hại
- Sao chép website “pixel-perfect”, ẩn chứa phần mềm đánh cắp ví
- Nhà sáng lập nhanh chóng làm rõ: OpenClaw hoàn toàn không có chương trình khuyến mãi token
- Nhiều phương thức tấn công: giả mạo gói cài đặt và plugin độc hại
Trong làn sóng AI Agents, các dự án mã nguồn mở nổi bật đang trở thành chiến trường mới để hacker thực hiện các cuộc tấn công chính xác. Theo cảnh báo của công ty an ninh mạng OX Security ngày 18 tháng 3, hiện đang diễn ra một chiến dịch “đánh cắp ví” nhắm vào những người ủng hộ dự án OpenClaw.
Chức năng “đánh dấu” của GitHub bị chiếm đoạt bởi phần mềm độc hại
Nguyên nhân khiến nhiều nhà phát triển kỳ cựu dính phải là do kẻ tấn công sử dụng phương pháp xã hội kỹ thuật kiểu “ăn theo” (Living-off-the-land). Hacker lợi dụng API của GitHub để lọc ra danh sách các mục tiêu giá trị cao đã từng nhấn sao (Star) cho dự án OpenClaw, sau đó mở các chủ đề thảo luận trong các kho chứa mã độc và đồng thời đánh dấu hàng chục nhà phát triển.
Vì các thông báo này xuất phát từ email chính thức của GitHub ([email protected]), rất dễ bị nhầm lẫn. Trong tin nhắn, kẻ tấn công tuyên bố rằng người nhận đã được chọn để nhận phần thưởng “CLAW” trị giá 5.000 USD, nhằm dụ người dùng truy cập vào các trang phishing.
Sao chép website “pixel-perfect”, ẩn chứa phần mềm đánh cắp ví
Theo phân tích kỹ thuật của OX Security, hacker đã thiết lập các tên miền độc hại như token-claw[.]xyz, với giao diện gần như hoàn toàn sao chép website chính thức của OpenClaw (openclaw.ai). Tuy nhiên, trang phishing này có thêm một nút “Kết nối ví của bạn (Connect your wallet)”.
Ngay khi người dùng nhấn vào nút này, bộ phần mềm “đánh cắp ví (Wallet Drainer)” ẩn trong nền sẽ kích hoạt, hỗ trợ các cổng phổ biến như MetaMask, WalletConnect. Đặc biệt, đoạn script gây rối eleven.js sẽ liên kết với máy chủ điều khiển từ xa watery-compost[.]today, sau khi người dùng cấp quyền, tất cả tài sản trong ví sẽ bị chuyển ngay lập tức.
Nhà sáng lập nhanh chóng làm rõ: OpenClaw hoàn toàn không có chương trình khuyến mãi token
Trước làn sóng tấn công dữ dội này, nhà sáng lập OpenClaw, ông Peter Steinberger, đã đăng tải cảnh báo nghiêm khắc trên nền tảng X (trước đây là Twitter):
“Các bạn, nếu nhận được email hoặc trang web nào tuyên bố liên quan đến token của OpenClaw, thì chắc chắn là lừa đảo. OpenClaw là dự án phi lợi nhuận, chúng tôi KHÔNG bao giờ tổ chức các chương trình khuyến mãi kiểu đó.”
Folks, if you get crypto emails from websites claiming to be associated with openclaw, it’s ALWAYS a scam.
We would never do that. The project is open source and non-commercial. Use the official website. Be sceptical of folks trying to build commercial wrappers on top of it.
— Peter Steinberger 🦞 (@steipete) March 18, 2026
Nhiều phương thức tấn công: giả mạo gói cài đặt và plugin độc hại
Thực tế, nguy cơ an ninh của OpenClaw còn phức tạp hơn nhiều. Trong tháng này, các nhà nghiên cứu an ninh đã phát hiện các mối đe dọa sau:
- Gói cài đặt giả mạo: Kho chứa mã độc lợi dụng trọng số kết quả tìm kiếm của Bing AI để phân phối các gói cài đặt OpenClaw giả mạo chứa Trojan Vidar đánh cắp dữ liệu.
- Nguồn cung npm bị tấn công: Hacker đã phát hành gói độc hại tên @openclaw-ai/openclawai, sau khi cài đặt sẽ triển khai phần mềm điều khiển từ xa GhostLoader, một Trojan truy cập từ xa.
- Plugin độc hại của ClawHub: Trong kho plugin “Skills” dành riêng cho OpenClaw, có tới 12% các plugin bị phát hiện chứa phần mềm đánh cắp dữ liệu AMOS.
Hiện tại, OpenClaw xếp thứ chín toàn cầu về mức độ phổ biến trên GitHub. Các chuyên gia an ninh cảnh báo các nhà phát triển tuyệt đối không thử nghiệm trực tiếp các plugin AI không rõ nguồn gốc trên các máy chứa chứng chỉ doanh nghiệp hoặc tài sản số lớn, và từ chối mọi yêu cầu cấp quyền “ký ẩn (Blind signatures)”.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Chủ nhân tham gia vụ khủng bố ở Triều Tiên tranh chấp quyền nâng cấp, tài sản Aave trị giá 71 triệu USD bị phong tỏa: viện dẫn luật bảo hiểm chống khủng bố
Vụ tấn công khủng bố của Triều Tiên leo thang, tài sản bị Aave đóng băng trị giá 71 triệu USD bước vào vòng thứ ba. Nguyên đơn chuyển sang lập luận theo luật TRIA để cho rằng ETH là tài sản nhà nước của Triều Tiên, nhấn mạnh hành vi lừa đảo chứ không phải trộm cắp nhằm vượt qua kháng biện “kẻ trộm không sở hữu tang vật”, đồng thời thách thức năng lực đứng kiện và vị thế quản trị của Aave. DeFi United đã huy động hơn 328 triệu USD, quỹ đủ để bù đắp cho người dùng bị ảnh hưởng. Vụ việc có thể trở thành án lệ then chốt về pháp lý DeFi và quản trị DAO.
ChainNewsAbmedia1giờ trước
“Người khổng lồ” tiền mã hóa kiện Coinbase, cáo buộc đã bị đóng băng DAI bị đánh cắp và từ chối hoàn trả
Theo The Block, ngày 6/5, một “cá voi” tiền mã hóa ẩn danh bị truy tố dưới bí danh “DB” đã khởi kiện vào thứ Hai Coinbase và kẻ trộm bị cáo buộc “John Doe”, cáo buộc rằng Coinbase sau khi đã cung cấp bản tuyên thệ để chứng minh họ là chủ sở hữu hợp pháp, vẫn từ chối hoàn trả các khoản DAI bị phong tỏa liên quan đến vụ trộm tiền mã hóa năm 2024.
MarketWhisper2giờ trước
Các nạn nhân khủng bố Triều Tiên nộp đơn yêu cầu tịch thu $71M từ vụ hack Aave, lập lại vụ việc như gian lận
Các luật sư đại diện cho nạn nhân trong ba vụ tấn công khủng bố của Triều Tiên đã nộp một bản phản hồi dài 30 trang vào hôm thứ Ba, tái diễn giải vụ hack Aave ngày 18 tháng 4 là lừa đảo thay vì trộm cắp. Sự khác biệt này mang ý nghĩa pháp lý: việc mô tả sự cố như lừa đảo có thể trao cho kẻ tấn công quyền sở hữu hợp pháp đối với khoản tiền được mượn
GateNews3giờ trước
Kelp DAO từ bỏ LayerZero để chuyển sang Chainlink CCIP sau vụ khai thác cầu trị giá 292 triệu USD
Theo The Block, Kelp DAO đã từ bỏ LayerZero để chuyển sang Chainlink's Cross-Chain Interoperability Protocol (CCIP) sau vụ khai thác cầu trị giá 292 triệu USD hồi tháng trước. Một đại diện của Chainlink xác nhận rằng Kelp DAO là giao thức lớn đầu tiên chuyển hướng khỏi LayerZero kể từ sau cuộc tấn công. Trên
GateNews3giờ trước
Đồng sáng lập LayerZero bác bỏ cáo buộc từ KelpDAO, dẫn chứng thay đổi cấu hình thủ công vào ngày 1/4/2024
Theo Bryan Pellegrino, đồng sáng lập và CEO của LayerZero Labs, phần lớn các cáo buộc chống lại KelpDAO là không có cơ sở. Vào ngày 6/5, Pellegrino cho biết Kelp ban đầu sử dụng cấu hình mặc định MultiDVN hoặc DeadDVN nhưng đã tự thay đổi nó thành cấu hình 1/1 vào ngày 1/4/2024, theo dữ liệu on-chain
GateNews3giờ trước
