OpenClaw: Cú lừa "Self-hosted ChatGPT" và cái kết rước 2000 con sâu vào nhà
Cảnh báo OpenClaw - tool self-hosted AI đang viral thực chất là một ổ lỗ hổng bảo mật với hơn 2000 CVE, đe dọa trực tiếp dữ liệu doanh nghiệp.

Định tiết kiệm vài đồng tiền API hay muốn "tự do tự tại" không phụ thuộc Big Tech nên anh em tìm đến các giải pháp self-hosted? Cẩn thận không lại thành "gậy ông đập lưng ông". Mấy hôm nay dân tình đang rần rần vụ OpenClaw - cái tên nghe thì kêu như chuông, giúp anh em chạy Claude với GPT qua Telegram xịn xò, nhưng soi kỹ ra thì đúng là một cú "úp sọt" bảo mật không hơn không kém.
Toàn cảnh vụ úp sọt mang tên OpenClaw
Chuyện là có một ông dev trên Reddit, sau hai tuần hí hửng vì cài được OpenClaw chạy mượt mà, không qua bên thứ ba, đúng ý đồ "private". Nhưng vốn tính hay soi, ông này mới lôi cái Docker image ra kiểm tra xem bên trong có gì. Và kết quả khiến anh em phải "bật ngửa":
- Rổ lỗ hổng khổng lồ: Cái image chính thức trên GHCR chứa tới gần 2.000 lỗi bảo mật (CVE), trong đó có 7 lỗi ở mức cực kỳ nghiêm trọng (Critical) mà thậm chí còn chưa có bản vá (patch).
- Treo đầu dê bán thịt chó: Mang danh là bản build Alpine (vốn nổi tiếng là cực nhẹ và bảo mật), nhưng thực tế bên trong lại là một cái nhân Debian 12 đầy rác với 1.156 lỗ hổng đi kèm. Anh em cứ gõ lệnh
docker run --rm alpine/openclaw cat /etc/os-releaselà thấy cái sự "ảo ma" này ngay. - Quyền lực tuyệt đối (và nguy hiểm): Khác với ChatGPT chạy trong sandbox (môi trường cô lập), OpenClaw đòi quyền can thiệp trực tiếp vào file local và thực thi các lệnh hệ thống. Điều này có nghĩa là nếu anh em cấp quyền cho nó, nó có thể "xơi" sạch từ WhatsApp, API keys cho đến toàn bộ filesystem của các ông.
Giang hồ mạng và những pha cà khịa cực gắt
Dân mạng, đặc biệt là mấy ông Sysadmin lão làng, tất nhiên là không bỏ qua cơ hội này để nhảy vào combat. Có vài quan điểm đang chiếm sóng mà anh em cần đọc để tỉnh táo:
- Phần mềm hay Malware?: Nhiều ông khẳng định luôn: một cái phần mềm tự ý chạy với quyền hạn tối cao trên hệ thống mà không có rào chắn bảo mật thì người ta gọi là "malware", chứ AI cái nỗi gì.
- Code rác kiểu "vibe-coding": Có thanh niên bóc phốt rằng OpenClaw chứa khoảng 400.000 dòng code lôm côm, kiểu code theo cảm hứng (vibecoded junk) mà chính tác giả cũng chẳng thèm ngó lại. Bảo sao nó không phình to như một con quái vật và đầy rẫy bug.
- Châm biếm cực sâu: Một comment nhận được nhiều lượt upvote nhất đã mỉa mai rằng: "Hãy nhớ, chữ S trong AI là viết tắt của Security" (trong khi thực tế AI làm gì có chữ S). Ý nói là mấy bố làm AI bây giờ chả ai thèm quan tâm đến bảo mật đâu.
- Sự ngây thơ vô số tội: Việc piping output từ ChatGPT trực tiếp vào terminal với quyền root/admin chẳng khác nào tự dâng chìa khóa nhà cho kẻ trộm rồi mong nó không lấy gì.
Bài học sinh tồn cho anh em SME từ góc nhìn WorkCloud
Là một Dev cũng từng chật vật với đồng lương bèo bọt, tôi hiểu cái cảm giác muốn dùng hàng xịn mà không muốn tốn tiền. Nhưng anh em SME ạ, thực dụng một chút đi. Cái giá của việc "dùng lậu, dùng tool rác" để tiết kiệm vài triệu tiền sub AI đôi khi là toàn bộ database của khách hàng hoặc bí mật kinh doanh của công ty.
Bài học ở đây là gì? Đừng tin vào những cái tên gắn mác "Open" hay "Minimal" một cách mù quáng. Trước khi pull bất kỳ một cái Docker image nào về server công ty, ít nhất hãy scan nó một cái.
Ở WorkCloud, chúng tôi cũng hướng tới việc tối ưu chi phí cho doanh nghiệp, nhưng phương châm là "rẻ nhưng phải chất". Thay vì bắt anh em đi mày mò mấy cái tool trôi nổi đầy rủi ro trên mạng, WorkCloud cung cấp một hệ sinh thái vận hành chuẩn chỉnh, nơi bảo mật được đặt lên hàng đầu. Chúng tôi không dùng "code rác" để lùa gà, mà tập trung vào các tính năng thực tế, giúp SME tiếp cận công nghệ đỉnh cao một cách an toàn và bền vững nhất.
Đừng để một phút bốc đồng muốn thử tool AI mới mà làm sập cả cái server của công ty. Tiết kiệm kiểu đó thì... toang sớm!
Nguồn: Reddit - OpenClaw is going viral as a self-hosted ChatGPT alternative