Các tác giả của bài báo Transformer tái tạo tôm hùm, chia tay lỗ hổng mở OpenClaw

Transformer tác giả Illia Polosukhin dùng Rust viết lại OpenClaw, ra mắt phiên bản an toàn của khung AI thông minh IronClaw, giải quyết lỗ hổng rò rỉ chứng thực từ kiến trúc.

Chuyển từ | Quantumbit

Có bao nhiêu con tôm hùm đang phơi mình trần truồng trên internet?

Các AI thông minh mang theo mật khẩu và API key của bạn bị phơi bày ra toàn bộ mạng.

Tác giả Transformer Illia Polosukhin không thể chịu đựng nổi nữa. Ông ra tay tái cấu trúc lại phiên bản an toàn của tôm hùm: IronClaw.

Hiện tại IronClaw đã mở mã nguồn trên GitHub, cung cấp các gói cài đặt cho macOS, Linux và Windows, hỗ trợ triển khai tại chỗ cũng như qua đám mây. Dự án vẫn đang trong giai đoạn phát triển nhanh, phiên bản binary v0.15.0 đã có thể tải xuống.

Polosukhin (gọi tắt là anh Dứa) còn mở bài trên diễn đàn Reddit để phản hồi mọi thứ, thu hút sự chú ý khá lớn.

01 OpenClaw nổi tiếng, nhưng cũng “bốc cháy”

Anh Dứa cũng là người dùng sớm của OpenClaw, và gọi đây là công nghệ ông đã chờ đợi suốt 20 năm.

Nó đã thay đổi cách tôi tương tác với máy tính.

Tuy nhiên, tình hình an toàn của OpenClaw lại vô cùng tồi tệ, các lỗ hổng như thực thi mã từ xa chỉ cần một cú nhấn nút, tấn công tiêm lệnh, trộm mật khẩu từ các kỹ năng độc hại đã lần lượt bị phơi bày trong hệ sinh thái của OpenClaw.

Hơn 25.000 ví dụ công khai không có kiểm soát an toàn đầy đủ đã bị phơi bày trên internet, bị các chuyên gia an ninh gọi thẳng là “đám cháy rác thải an ninh” (security dumpster fire).

Nguyên nhân gốc rễ nằm chính ở kiến trúc của nó.

Khi người dùng gửi Bearer Token của email cho OpenClaw, nó sẽ được gửi thẳng đến máy chủ của nhà cung cấp LLM.

Anh Dứa trên Reddit đã chỉ rõ ý nghĩa của điều này:

Tất cả thông tin của bạn, kể cả những dữ liệu bạn không rõ ràng cho phép, đều có thể bị bất kỳ nhân viên nào của công ty đó truy cập. Điều này cũng đúng với dữ liệu của công ty bạn thuê. Không phải là các công ty này có ác ý, mà thực tế là người dùng không có quyền riêng tư thực sự.

Anh ấy nói rằng, dù có tiện lợi đến đâu cũng không đáng để mạo hiểm an toàn và quyền riêng tư của bản thân và gia đình.

02 Xây dựng lại mọi thứ từ đầu bằng Rust

IronClaw là bản viết lại hoàn toàn của OpenClaw bằng ngôn ngữ Rust.

Khả năng an toàn bộ nhớ của Rust có thể loại bỏ căn bản các lỗ hổng truyền thống như tràn bộ đệm, điều này đặc biệt quan trọng đối với các hệ thống xử lý khóa riêng và chứng thực người dùng.

Về mặt kiến trúc an toàn, IronClaw xây dựng bốn lớp phòng thủ sâu.

Lớp thứ nhất là khả năng đảm bảo an toàn bộ nhớ của chính Rust.

Lớp thứ hai là cách ly sandbox của WebAssembly (WASM), tất cả các công cụ của bên thứ ba và mã do AI sinh ra đều chạy trong các container WebAssembly riêng biệt, ngay cả khi một trong số đó là mã độc, phạm vi phá hoại của nó cũng bị giới hạn nghiêm ngặt trong sandbox.

Lớp thứ ba là kho chứa chứng thực mã hóa, tất cả API key và mật khẩu đều được mã hóa bằng AES-256-GCM, mỗi chứng thực đều gắn kèm quy tắc chiến lược, quy định nó chỉ được dùng trong các tên miền nhất định.

Lớp thứ tư là môi trường thực thi đáng tin cậy (TEE), tận dụng cách ly phần cứng để bảo vệ dữ liệu, ngay cả nhà cung cấp dịch vụ đám mây cũng không thể truy cập thông tin nhạy cảm của người dùng.

Điểm mấu chốt trong thiết kế này là: mô hình lớn (large model) không bao giờ tiếp xúc trực tiếp với chứng thực gốc.

Chỉ khi AI cần liên lạc với dịch vụ bên ngoài, chứng thực mới được chèn vào tại biên giới mạng.

Anh Dứa lấy ví dụ, ngay cả khi mô hình lớn bị tấn công tiêm lệnh, cố gắng gửi token OAuth của Google của người dùng cho kẻ tấn công, lớp lưu trữ chứng thực sẽ từ chối trực tiếp yêu cầu này, ghi log và gửi cảnh báo tới người dùng.

Tuy nhiên, cộng đồng nhà phát triển vẫn còn lo lắng, vì đã có hơn 2000 ví dụ công khai của OpenClaw bị tấn công, cùng với nhiều kỹ năng độc hại, liệu IronClaw khi nổi tiếng có lặp lại sai lầm cũ?

Anh Dứa trả lời rằng, kiến trúc của IronClaw đã từ căn bản chặn đứng các lỗ hổng cốt lõi của OpenClaw. Chứng thực luôn được mã hóa và không bao giờ tiếp xúc với LLM, các kỹ năng của bên thứ ba không thể chạy script trên máy chủ chính, chỉ có thể chạy trong container.

Ngay cả khi truy cập qua CLI, cũng cần dùng kho hệ thống của người dùng để giải mã, và khóa mã hóa lấy ra không có ý nghĩa gì.

Anh còn nói rằng, khi phiên bản cốt lõi ổn định hơn, nhóm sẽ tiến hành kiểm thử đỏ (red team) và kiểm tra an ninh chuyên nghiệp.

Về vấn đề tiêm lệnh (prompt injection), một trong những thách thức lớn của ngành, anh Dứa đưa ra ý tưởng chi tiết hơn.

Hiện tại, IronClaw sử dụng quy tắc gợi ý để phát hiện mẫu, trong tương lai hướng tới triển khai một bộ phân loại ngôn ngữ nhỏ có thể cập nhật liên tục để nhận diện các mẫu tiêm lệnh.

Nhưng anh cũng thừa nhận, tiêm lệnh không chỉ có thể trộm chứng thực mà còn có thể trực tiếp sửa đổi mã nguồn của người dùng hoặc gửi tin nhắn độc hại qua các công cụ liên lạc.

Để đối phó các cuộc tấn công này, cần một hệ thống chiến lược thông minh hơn, có khả năng kiểm tra ý định hành vi của AI mà không cần xem nội dung đầu vào, “cần nhiều công sức hơn nữa, mong cộng đồng đóng góp.”

Có người hỏi về sự lựa chọn giữa triển khai tại chỗ và đám mây.

Anh Dứa cho rằng phương án hoàn toàn tại chỗ có những hạn chế rõ rệt, vì khi tắt máy, AI sẽ dừng hoạt động, năng lượng tiêu thụ trên di động cũng không thể chịu nổi, các nhiệm vụ dài hạn phức tạp cũng không thể thực hiện.

Anh cho rằng “đám mây bí mật” (confidential cloud) hiện là phương án tối ưu, vừa cung cấp bảo mật gần như tại chỗ, vừa giải quyết vấn đề “luôn luôn trực tuyến.”

Anh còn đề cập một chi tiết nhỏ: người dùng có thể thiết lập các chiến lược, ví dụ như khi đi du lịch xuyên biên giới, tự động thêm các lớp bảo vệ an toàn bổ sung để ngăn chặn truy cập trái phép.

03 Một tham vọng lớn hơn

Anh Dứa không phải là nhà phát triển mã nguồn mở bình thường.

Năm 2017, anh là một trong tám tác giả cùng ký tên bài báo “Attention Is All You Need”, trong đó đề xuất kiến trúc Transformer đã đặt nền móng cho tất cả các mô hình ngôn ngữ lớn ngày nay.

Dù tên anh xếp cuối trong danh sách, nhưng trong chú thích của bài báo có ghi rõ “Equal contribution. Listing order is random.” Xếp hạng hoàn toàn ngẫu nhiên.

Tuy nhiên, cùng năm đó, anh rời Google, thành lập NEAR Protocol, nhằm mục đích kết hợp AI và công nghệ blockchain.

Phía sau IronClaw là một chiến lược lớn hơn của NEAR Protocol: AI do người dùng sở hữu (User-Owned AI).

Trong tầm nhìn này, người dùng hoàn toàn kiểm soát dữ liệu và tài sản của mình, các AI thông minh thay mặt người dùng thực hiện nhiệm vụ trong môi trường đáng tin cậy.

NEAR đã xây dựng nền tảng đám mây AI và thị trường GPU phi tập trung để phục vụ mục tiêu này, IronClaw chính là lớp runtime của hệ thống.

Anh Dứa còn phát triển một thị trường thuê mướn các AI lẫn nhau.

Trên NEAR, tại market.near.ai, người dùng có thể đăng ký các AI chuyên môn của mình, khi các AI tích lũy uy tín, chúng sẽ nhận được nhiều nhiệm vụ giá trị cao hơn.

Khi được hỏi về cách người bình thường có thể thích nghi với kỷ nguyên AI trong 5 năm tới, anh Dứa khuyên mọi người nên nhanh chóng áp dụng cách làm việc bằng AI, học cách để AI tự động hóa toàn bộ quy trình công việc của mình.

Quan điểm này không phải là mới mẻ, từ khi thành lập NEAR AI năm 2017, anh đã nói với mọi người rằng “Trong tương lai, bạn chỉ cần nói chuyện với máy tính, không cần viết mã nữa.”

Lúc đó, mọi người nghĩ họ điên, đó là chuyện vô lý.

Chín năm đã trôi qua, điều này đang trở thành hiện thực.

“AI thông minh là giao diện cuối cùng để con người tương tác với mọi thứ trực tuyến,” Polosukhin viết, “nhưng hãy làm cho nó an toàn.”