Clawdbot闹剧：bị buộc đổi tên, lừa đảo tiền điện tử và sụp đổ trong 24 giờ

Viết bài: Jose Antonio Lanz

Biên dịch: Chopper, Foresight News

TL;DR

Một tranh chấp thương hiệu đã gây ra tình trạng hỗn loạn khi ứng dụng trí tuệ nhân tạo đình đám Clawdbot gặp phải vấn đề đổi tên và bị đánh cắp tài khoản;

Chỉ trong vài phút, giá trị thị trường của token CLAWD không liên quan đến dự án đã tăng vọt lên 16 triệu USD, rồi nhanh chóng sụp đổ;

Các nhà nghiên cứu an ninh phát hiện ra nhiều phiên bản Clawdbot tồn tại rủi ro lộ dữ liệu, các tài khoản liên quan cũng đối mặt với nguy cơ rò rỉ thông tin.

Vài ngày trước, Clawdbot vẫn là một trong những dự án mã nguồn mở hot nhất trên GitHub, nhận hơn 80.000 sao. Công cụ này có khả năng vượt trội, cho phép người dùng chạy trợ lý AI qua các ứng dụng nhắn tin như WhatsApp, Telegram và Discord tại chỗ, đồng thời có quyền truy cập toàn bộ hệ thống.

Nhưng hiện tại, dự án này không chỉ bị buộc đổi tên do vấn đề pháp lý mà còn bị các lừa đảo tiền mã hóa nhắm tới; một token giả mạo mang tên nó đã tạm thời tăng giá lên 16 triệu USD rồi giảm mạnh sau khi các nhà nghiên cứu phát hiện ra các lỗ hổng bảo mật, các tài khoản có thể bị lấy cắp dễ dàng.

Nguyên nhân dẫn đến cuộc khủng hoảng này bắt nguồn từ việc công ty trí tuệ nhân tạo Anthropic gửi đơn kiện về vi phạm thương hiệu tới người sáng lập Clawdbot, Peter Steinberger. Nhiều chức năng của Clawdbot dựa trên mô hình Claude của Anthropic, công ty này cho rằng “Clawd” quá giống với “Claude”. Thật công bằng mà nói, yêu cầu này phù hợp với quy định của luật sở hữu trí tuệ.

Tuy nhiên, tranh chấp thương hiệu này đã gây ra một loạt vấn đề dây chuyền, cuối cùng khiến tình hình mất kiểm soát hoàn toàn.

Peter Steinberger đăng tweet hỏi: “Trong danh sách theo dõi của tôi có nhân viên GitHub không? Có thể giúp tôi lấy lại tài khoản GitHub không? Tài khoản bị đánh cắp bởi lừa đảo tiền mã hóa.”

Anh cũng thông báo trên Twitter rằng sẽ đổi tên Clawdbot thành Moltbot. Cộng đồng người dùng phản ứng khá tích cực với việc đổi tên này, và tài khoản chính thức của dự án còn đăng bài: “Nhân tố chính vẫn còn, chỉ là vỏ ngoài mới.”

Sau đó, Peter Steinberger đã đồng bộ tiến hành đổi tên tài khoản GitHub và Twitter. Nhưng trong khoảng thời gian ngắn từ khi từ bỏ tên cũ và đăng ký tên mới, các lừa đảo đã lợi dụng để đánh cắp hai tài khoản này.

Các tài khoản bị đánh cắp bắt đầu quảng bá rầm rộ một token giả dựa trên Solana mang tên CLAWD. Chỉ trong vài giờ, các nhà đầu cơ đã đẩy giá trị token này lên trên 16 triệu USD.

Một số nhà đầu tư đã vào sớm và kiếm lời lớn, trong khi Peter Steinberger công khai phủ nhận bất kỳ liên quan nào đến token này. Không lâu sau, giá trị token sụp đổ mạnh, các nhà đầu tư mua ở mức cao thiệt hại nặng nề.

Peter Steinberger đăng tweet: “Mọi người trong cộng đồng tiền mã hóa nghe đây: đừng gửi tin nhắn cho tôi nữa, đừng làm phiền tôi nữa. Tôi sẽ không bao giờ phát hành token, bất kỳ dự án nào liệt kê tôi là nhà phát hành đều là lừa đảo. Tôi không thu phí gì cả, hành động của các bạn đang gây tổn hại nghiêm trọng đến sự phát triển của dự án này.”

Thái độ từ chối của Peter Steinberger khiến một số người trong cộng đồng tiền mã hóa tức giận. Một số nhà đầu cơ cho rằng chính việc anh phủ nhận công khai đã khiến họ thiệt hại, và bắt đầu gây rối, quấy rối anh. Anh bị cáo buộc “phản bội”, bị yêu cầu “chịu trách nhiệm”, thậm chí bị gây áp lực liên tục, yêu cầu bảo chứng cho các dự án mà anh chưa từng nghe tên.

Cuối cùng, Peter Steinberger đã lấy lại được tài khoản bị đánh cắp. Nhưng đồng thời, các nhà nghiên cứu an ninh cũng phát hiện ra một vấn đề nghiêm trọng: hàng trăm phiên bản của Clawdbot chạy mà không có bất kỳ biện pháp xác thực nào, trực tiếp phơi bày trên mạng công cộng. Điều này có nghĩa là quyền truy cập không giám sát mà người dùng cấp cho trợ lý AI này rất dễ bị lợi dụng.

Theo báo cáo của Decrypt, nhà phát triển trí tuệ nhân tạo Luis Catacora sau khi quét bằng công cụ Shodan đã phát hiện ra nguyên nhân chính của các vấn đề này là do người dùng mới cấp quá nhiều quyền cho trợ lý thông minh. Anh viết: “Tôi vừa kiểm tra trên Shodan và phát hiện nhiều cổng 18789 của các gateway bị phơi bày ra ngoài mà không có xác thực nào. Điều này có nghĩa là bất kỳ ai cũng có thể truy cập shell của máy chủ, tự động hóa trình duyệt, thậm chí lấy cắp API key của bạn. Cloudflare Tunnel là miễn phí, những vấn đề này không nên xảy ra.”

Giám đốc công ty red-teaming Dvuln, Jamieson O’Reilly, cũng nhận thấy việc xác định các máy chủ có lỗ hổng rất dễ dàng. Trong cuộc phỏng vấn với tạp chí The Register, ông nói: “Tôi đã kiểm tra thủ công nhiều phiên bản chạy, trong đó có 8 máy hoàn toàn không có xác thực, để mở, còn hàng chục máy khác có bảo vệ một phần nhưng vẫn không thể loại bỏ hoàn toàn rủi ro phơi bày.”

Vấn đề cốt lõi của lỗ hổng kỹ thuật này là gì? Hệ thống xác thực của Clawdbot tự động xác nhận các yêu cầu kết nối từ máy chủ cục bộ, tức là từ chính thiết bị của người dùng. Hầu hết người dùng đều chạy phần mềm này qua reverse proxy, dẫn đến tất cả các yêu cầu kết nối từ bên ngoài đều bị nhận diện là từ địa chỉ localhost 127.0.0.1 và được tự động cấp quyền, ngay cả khi các yêu cầu này thực chất đến từ mạng bên ngoài.

Công ty an ninh chuỗi khối Mạng lưới An toàn chậm (SlowMist) xác nhận sự tồn tại của lỗ hổng này và cảnh báo: dự án có nhiều lỗi mã nguồn, có thể dẫn đến việc tài khoản người dùng bị đánh cắp, thậm chí cho phép kẻ xấu thực thi mã từ xa. Các nhà nghiên cứu còn trình diễn nhiều phương thức tấn công tiêm lệnh, trong đó có một cuộc tấn công qua email chỉ trong vài phút đã khiến trợ lý AI chuyển dữ liệu cá nhân của người dùng cho kẻ tấn công.

“Đây là hậu quả của việc dự án nổi tiếng mà không qua kiểm tra an ninh rồi mở rộng nhanh chóng,” nhà phát triển Abdulmuiz Adeyemo của nền tảng khởi nghiệp FounderOS viết. “Mô hình ‘phát triển công khai’ ẩn chứa một mặt tối mà ít ai muốn nhắc đến.”

Đối với những người yêu thích và phát triển AI, tin vui là dự án này chưa bị khai tử. Moltbot về bản chất là cùng một phần mềm với Clawdbot trước đây, chất lượng mã nguồn rất tốt, và mặc dù vẫn còn hot, công cụ này không thân thiện với người mới, không dễ gây ra lỗi lớn. Nó có thể ứng dụng thực tế, nhưng hiện tại vẫn chưa đủ điều kiện để phổ biến cho người dùng chính thống, và các vấn đề bảo mật vẫn còn bỏ ngỏ.

Việc một trợ lý AI tự chủ có quyền truy cập shell máy chủ, kiểm soát trình duyệt và quản lý chứng thực sẽ tạo ra nhiều bề mặt tấn công, mà các hệ thống phòng thủ an ninh truyền thống chưa tính đến. Đặc điểm của hệ thống này — triển khai tại chỗ, ghi nhớ lâu dài, thực thi nhiệm vụ chủ động — khiến tốc độ phổ biến nhanh hơn nhiều so với khả năng thích ứng của các hệ thống bảo vệ an ninh ngành.

Các lừa đảo tiền mã hóa vẫn còn ẩn nấp, chờ thời cơ để gây rối loạn tiếp theo.