OpenClaw là “kẻ ngỗ ngược” trong làng AI agent. Đây là lý do các chuyên gia bảo mật khuyên bạn nên cảnh giác

(SeaPRwire) –   Chào mừng bạn đến với Eye on AI, cùng phóng viên AI Sharon Goldman. Trong số báo này: Mặt trái hoang dã của OpenClaw…Siêu PAC trị giá 20 triệu USD mới của Anthropic đối đầu với OpenAI…OpenAI phát hành mô hình đầu tiên được thiết kế cho tốc độ xuất siêu nhanh…Anthropic sẽ chi trả mức tăng giá điện từ các trung tâm dữ liệu AI của họ…Isomorphic Labs tuyên bố đã mở ra một biên giới sinh học mới vượt xa AlphaFold.

OpenClaw đã dành vài tuần qua để cho thấy mức độ liều lĩnh mà các tác nhân AI có thể đạt được — và trong quá trình đó, thu hút một lượng người theo dõi trung thành.

Tác nhân trí tuệ nhân tạo tự trị mã nguồn mở và miễn phí này, được phát triển bởi Peter Steinberger và ban đầu được biết đến với tên ClawdBot, lấy những chatbot chúng ta biết và yêu thích — như ChatGPT và Claude — và cung cấp cho chúng công cụ cùng quyền tự chủ để tương tác trực tiếp với máy tính của bạn và những máy khác trên internet. Hãy nghĩ đến việc gửi email, đọc tin nhắn của bạn, đặt vé xem hòa nhạc, đặt chỗ nhà hàng, và nhiều hơn thế nữa — trong khi bạn có lẽ chỉ ngồi thư giãn và ăn kẹo.

Vấn đề khi trao cho OpenClaw sức mạnh phi thường để làm những điều thú vị? Không có gì ngạc nhiên, đó là việc nó cũng tạo ra rất nhiều cơ hội để làm những việc không nên làm, bao gồm rò rỉ dữ liệu, thực thi các lệnh ngoài ý muốn, hoặc bị kẻ tấn công âm thầm chiếm quyền điều khiển, thông qua phần mềm độc hại hoặc thông qua các cuộc tấn công được gọi là “tiêm prompt”. (Khi ai đó đưa các hướng dẫn độc hại cho tác nhân AI vào dữ liệu mà một tác nhân AI có thể sử dụng.)

Sự hào hứng về OpenClaw, theo lời hai chuyên gia an ninh mạng tôi đã nói chuyện trong tuần này, là nó không có hạn chế, về cơ bản trao cho người dùng quyền lực gần như không bị kiềm chế để tùy chỉnh nó theo bất cứ cách nào họ muốn.

“Quy tắc duy nhất là nó không có quy tắc nào cả,” Ben Seri, đồng sáng lập và Giám đốc Công nghệ tại Zafran Security, công ty chuyên cung cấp dịch vụ quản lý phơi nhiễm mối đe dọa cho các doanh nghiệp, cho biết. “Đó là một phần của trò chơi.” Nhưng trò chơi đó có thể biến thành cơn ác mộng bảo mật, vì các quy tắc và ranh giới chính là cốt lõi của việc ngăn chặn tin tặc và rò rỉ.

Những lo ngại bảo mật kinh điển

Những lo ngại về bảo mật khá là kinh điển, Colin Shea-Blymyer, một nghiên cứu viên tại Trung tâm An ninh và Công nghệ Mới nổi (CSET) của Georgetown, nơi ông làm việc trong Dự án CyberAI, cho biết. Các cấu hình sai về quyền — ai hoặc cái gì được phép làm điều gì — có nghĩa là con người có thể vô tình trao cho OpenClaw nhiều quyền hạn hơn họ nhận ra, và kẻ tấn công có thể lợi dụng điều đó.

Ví dụ, trong OpenClaw, phần lớn rủi ro đến từ thứ mà các nhà phát triển gọi là “kỹ năng”, về cơ bản là các ứng dụng hoặc plugin mà tác nhân AI có thể sử dụng để thực hiện hành động — như truy cập tệp, duyệt web hoặc chạy lệnh. Điểm khác biệt là, không giống một ứng dụng thông thường, OpenClaw tự quyết định khi nào sử dụng các kỹ năng này và cách kết nối chúng với nhau, có nghĩa là một sai lầm nhỏ về quyền có thể nhanh chóng phát triển thành một vấn đề nghiêm trọng hơn nhiều.

“Hãy tưởng tượng sử dụng nó để truy cập trang đặt chỗ của một nhà hàng và nó cũng có quyền truy cập vào lịch của bạn với đủ loại thông tin cá nhân,” ông nói. “Hoặc nếu đó là phần mềm độc hại và nó tìm thấy trang web sai và cài đặt virus thì sao?”

OpenClaw thực sự có các trang về bảo mật trong tài liệu của mình và đang cố gắng giữ cho người dùng cảnh giác và nhận thức, Shea-Blymyer nói. Nhưng các vấn đề bảo mật vẫn là những vấn đề kỹ thuật phức tạp mà hầu hết người dùng phổ thông khó có thể hiểu hết được. Và trong khi các nhà phát triển OpenClaw có thể làm việc chăm chỉ để sửa các lỗ hổng, họ không thể dễ dàng giải quyết vấn đề cốt lõi là tác nhân có khả năng hành động tự chủ — điều khiến hệ thống trở nên hấp dẫn ngay từ đầu.

“Đó là sự căng thẳng cơ bản trong các hệ thống loại này,” ông nói. “Bạn càng trao cho chúng nhiều quyền truy cập, chúng càng trở nên thú vị và hấp dẫn — nhưng cũng càng nguy hiểm hơn.”

Các doanh nghiệp sẽ chậm chạp trong việc áp dụng

Seri của Zafran Security thừa nhận rằng rất ít khả năng dập tắt được sự tò mò của người dùng khi nói đến một hệ thống như OpenClaw, mặc dù ông nhấn mạnh rằng các công ty doanh nghiệp sẽ chậm chạp hơn nhiều trong việc áp dụng một hệ thống không thể kiểm soát, không an toàn như vậy. Đối với người dùng phổ thông, ông nói, họ nên thử nghiệm như thể đang làm việc trong phòng thí nghiệm hóa học với một vật liệu dễ nổ cao.

Shea-Blymyer chỉ ra rằng đó là một điều tích cực khi OpenClaw diễn ra đầu tiên ở cấp độ người đam mê. “Chúng ta sẽ học được rất nhiều về hệ sinh thái trước khi bất kỳ ai thử nó ở cấp độ doanh nghiệp,” ông nói. “Các hệ thống AI có thể thất bại theo những cách chúng ta thậm chí không thể tưởng tượng,” ông giải thích. “[OpenClaw] có thể cung cấp cho chúng ta nhiều thông tin về lý do tại sao các LLM khác nhau hoạt động theo cách chúng làm và về những mối lo ngại bảo mật mới hơn.”

Nhưng trong khi OpenClaw có thể là một thử nghiệm của người đam mê ngày hôm nay, các chuyên gia bảo mật coi đó là bản xem trước của các loại hệ thống tự trị mà các doanh nghiệp cuối cùng sẽ cảm thấy áp lực phải triển khai.

Hiện tại, trừ khi ai đó muốn trở thành đối tượng nghiên cứu bảo mật, người dùng phổ thông có lẽ nên tránh xa OpenClaw, Shea-Blymyer nói. Nếu không, đừng ngạc nhiên nếu trợ lý tác nhân AI cá nhân của bạn đi lang thang vào lãnh thổ rất không thân thiện.

Với điều đó, đây là thêm tin tức về AI.

Sharon Goldman
sharon.goldman@
@sharongoldman