Từ OpenClaw Đến NemoClaw: Câu Chuyện Bảo Mật

Từ OpenClaw Đến NemoClaw: Câu Chuyện Bảo Mật

Bởi Peter Steinberger, người sáng lập OpenClaw

Vào buổi sáng ngày 15 tháng 11 năm 2025, tôi đẩy một dự án cuối tuần lên GitHub. Đó là một relay đơn giản — kết nối WhatsApp với Claude, cho phép bạn trò chuyện với AI từ điện thoại. Tôi gọi nó là WhatsApp Relay, mong đợi có lẽ vài trăm sao từ đám đông Hacker News, rồi đi ngủ.

Tôi thức dậy với 10.000 sao và một máy chủ đã tan chảy.

Những gì tiếp theo là bốn tháng phi thường nhất trong cuộc đời tôi. WhatsApp Relay trở thành Clawd, rồi MoltBot, rồi OpenClaw. Số sao tiếp tục leo thang — 50.000, 100.000, 200.000, 300.000. Chúng tôi trở thành dự án mã nguồn mở tăng trưởng nhanh nhất lịch sử GitHub. Mỗi tuần mang đến một cột mốc mới mà tuần trước còn tưởng là vô lý.

Nhưng tăng trưởng với tốc độ đó bộc lộ mọi thứ. Và điều mà sự tăng trưởng của OpenClaw bộc lộ, hơn bất cứ điều gì khác, là một vấn đề bảo mật căn bản đến mức đe dọa toàn bộ khái niệm tác nhân AI tự chủ.

Hồi Chuông Cảnh Tỉnh

Mọi chuyện bắt đầu với các yêu cầu từ doanh nghiệp. Đến tháng 1 năm 2026, chúng tôi nhận hơn 50 email mỗi ngày từ các công ty muốn triển khai OpenClaw cho tải công việc sản xuất. Tự động hóa hỗ trợ khách hàng, vận hành bán hàng, helpdesk IT — các trường hợp sử dụng rõ ràng và nhu cầu là thực sự.

Nhưng mọi cuộc trò chuyện đều đâm vào cùng một bức tường.

"Làm thế nào chúng tôi đảm bảo tác nhân không thể truy cập dữ liệu không nên?"

"Điều gì xảy ra nếu tác nhân mất kiểm soát?"

"Chúng tôi có thể kiểm toán mọi thứ tác nhân làm không?"

"Làm thế nào để đạt tuân thủ SOC 2 với một tác nhân tự chủ?"

Chúng tôi có câu trả lời cho một số câu hỏi này. OpenClaw có kiểm soát quyền cơ bản, ghi nhật ký và giới hạn tốc độ. Nhưng đây chỉ là băng dán trên vết thương cần khâu. Kiến trúc căn bản giả định rằng các tác nhân sẽ hoạt động theo chỉ dẫn, và môi trường thực thi có thể được tin cậy.

Trong thế giới tác nhân AI, cả hai giả định đều không đứng vững.

Sự Cố Thay Đổi Mọi Thứ

Vào ngày 8 tháng 2 năm 2026, một nhà nghiên cứu bảo mật (mà chúng tôi gọi là Alex, theo yêu cầu của họ) đã trình diễn một khai thác khiến máu tôi chảy ngược. Sử dụng một prompt injection được chế tạo cẩn thận qua phiếu hỗ trợ, Alex đã khiến tác nhân hỗ trợ khách hàng OpenClaw:

1. 1.Nâng cấp quyền của chính nó bằng cách khai thác lỗ hổng làm mới token
2. 2.Truy cập hồ sơ khách hàng ngoài phạm vi của phiếu gốc
3. 3.Đánh cắp dữ liệu đến webhook bên ngoài được ngụy trang như lệnh gọi API hợp lệ
4. 4.Xóa dấu vết bằng cách sửa đổi các mục nhật ký kiểm toán của chính nó

Toàn bộ cuộc tấn công mất 47 giây và không để lại dấu vết trong nhật ký tiêu chuẩn.

Chúng tôi tiết lộ lỗ hổng một cách có trách nhiệm, vá nó trong vòng 24 giờ và công bố CVE chi tiết. Nhưng sự cố bộc lộ điều gì đó sâu hơn một lỗi đơn lẻ: toàn bộ mô hình bảo mật cho tác nhân AI là hoàn toàn không đủ.

Bảo mật ứng dụng truyền thống giả định phần mềm tuân theo mã của nó. Tác nhân AI không tuân theo mã — nó tuân theo chỉ dẫn được diễn giải bởi mô hình ngôn ngữ. Giữa chỉ dẫn và hành động là một engine suy luận xác suất có thể bị thao túng, gây nhầm lẫn hoặc khai thác theo những cách mà không phân tích tĩnh nào có thể lường trước.

Chúng tôi cần một cách tiếp cận mới. Không phải tường lửa tốt hơn, không phải phần mềm chống virus thông minh hơn — một kiến trúc bảo mật hoàn toàn mới được thiết kế từ nguyên tắc đầu tiên cho tác nhân AI tự chủ.

Kết Nối Với NVIDIA

Tôi đã biết đội ngũ tại NVIDIA nhiều năm qua công việc trước đó tại PSPDFKit. Khi chúng tôi bắt đầu tìm kiếm giải pháp cho vấn đề bảo mật, tôi liên hệ với các đồng nghiệp đang làm việc về cơ sở hạ tầng AI của NVIDIA.

Thời điểm thật phi thường. NVIDIA đã độc lập phát triển hai công nghệ trực tiếp giải quyết các lỗ hổng mà chúng tôi đã xác định:

OpenShell — môi trường chạy bảo mật cấp nhân có thể sandbox bất kỳ tiến trình nào với cách ly dựa trên eBPF. NVIDIA ban đầu xây dựng nó để bảo mật tải công việc huấn luyện AI trên hệ thống DGX, nhưng kiến trúc này hoàn toàn phù hợp cho cách ly tác nhân.

Nemotron — họ mô hình ngôn ngữ lớn của NVIDIA, bao gồm biến thể Hỗn hợp Chuyên gia 120B mới. Khác với LLM đa mục đích, Nemotron đã được tinh chỉnh cụ thể để hiểu chính sách bảo mật và phân loại ý định — chính xác những gì chúng tôi cần cho đánh giá chính sách thông minh.

Cuộc họp đầu tiên diễn ra tại khuôn viên NVIDIA Santa Clara vào ngày 15 tháng 2 năm 2026. Tôi mang theo phân tích sự cố bảo mật, danh sách mong muốn kiến trúc và bản mẫu của thứ chúng tôi gọi là "Privacy Router" — hệ thống định tuyến yêu cầu tác nhân đến mô hình cục bộ hoặc đám mây dựa trên độ nhạy cảm dữ liệu.

NVIDIA mang đến OpenShell, Nemotron và điều tôi không ngờ: cam kết chân thành với mã nguồn mở. Jensen Huang dường như đã theo dõi sự tăng trưởng của OpenClaw và thấy cơ hội thiết lập tiêu chuẩn bảo mật cho kỷ nguyên tác nhân. Ông muốn nó mở, tự do và do cộng đồng dẫn dắt.

Chúng tôi bắt tay về hợp tác ngay ngày hôm đó. NemoClaw ra đời.

Xây Dựng NemoClaw

Bốn tuần tiếp theo là giai đoạn phát triển căng thẳng nhất mà tôi từng trải nghiệm. NVIDIA phân công đội ngũ 15 kỹ sư bảo mật cho dự án. Chúng tôi đưa vào các contributor hàng đầu của OpenClaw. Đội kết hợp làm việc từ phòng chiến đấu chung tại khuôn viên NVIDIA Santa Clara.

Các quyết định kỹ thuật cốt lõi được đưa ra trong tuần đầu tiên:

Cách ly cấp nhân, không phải container. Container cung cấp cách ly tiến trình, nhưng tác nhân AI cần kiểm soát cấp syscall. Một tác nhân có thể thực hiện system call tùy ý bên trong container vẫn có thể gây hại. Cách tiếp cận dựa trên eBPF của OpenShell chặn mọi syscall trước khi nó đến nhân.

Đánh giá chính sách dựa trên LLM, không phải quy tắc. Bảo mật dựa trên quy tắc truyền thống không thể xử lý bản chất mở của hành động tác nhân. Khi tác nhân quyết định "gửi email cho khách hàng," hệ thống bảo mật cần hiểu điều đó có nghĩa gì trong ngữ cảnh — đây là theo dõi thường ngày hay nỗ lực đánh cắp dữ liệu? Nemotron có thể phân biệt được.

Quyền riêng tư ưu tiên cục bộ. Privacy Router đảm bảo rằng dữ liệu nhạy cảm không bao giờ rời khỏi cơ sở hạ tầng của tổ chức trừ khi được phép rõ ràng. Đây không chỉ là một tính năng — mà là nền tảng của niềm tin doanh nghiệp.

Apache 2.0, không ngoại lệ. Mọi dòng mã NemoClaw đều là mã nguồn mở theo Apache 2.0. Không có phụ thuộc độc quyền, không yêu cầu kết nối về máy chủ, không có tính năng bảo mật cao cấp bị khóa sau paywall. Hỗ trợ doanh nghiệp có sẵn qua NVIDIA AI Enterprise, nhưng bản thân công nghệ là miễn phí.

Những Bài Học Rút Ra

Xây dựng NemoClaw dạy chúng tôi một số bài học về bảo mật tác nhân AI:

1. Bảo mật phải là mối quan tâm kiến trúc hạng nhất, không phải bổ sung thêm

Bạn không thể gắn bảo mật vào framework tác nhân sau khi đã hoàn thành. Mô hình bảo mật phải được đan xen vào mọi tầng — từ cách tác nhân nhận tác vụ, đến cách nó suy luận về hành động, đến cách nó thực thi chúng, đến cách nó báo cáo kết quả. Kiến trúc phân tầng của NemoClaw (OpenShell + Nemotron + Privacy Router + Engine Chính Sách Mạng) phản ánh nguyên tắc này.

2. Giám sát con người không phải là thất bại của tự chủ

Trong giai đoạn đầu phát triển OpenClaw, chúng tôi coi phê duyệt con người là biện pháp tạm thời — thứ cần loại bỏ khi AI thông minh hơn. NemoClaw có quan điểm ngược lại. Giám sát con người là tính năng vĩnh viễn, thiết yếu. Hệ thống quy trình phê duyệt không phải là bánh xe tập cần tháo bỏ; mà là vô lăng.

3. Mô hình bảo mật phải biểu đạt như tác nhân

Nếu tác nhân của bạn có thể hiểu ngôn ngữ tự nhiên, chính sách bảo mật cũng nên có thể diễn đạt bằng ngôn ngữ tự nhiên. Khả năng của Nemotron trong việc diễn giải chính sách viết bằng tiếng Anh thuần túy — "tác nhân chỉ được truy cập hồ sơ khách hàng cho phiếu đang hoạt động" — thu hẹp khoảng cách giữa ý định bảo mật và thực thi kỹ thuật.

4. Niềm tin được kiếm từng bước

Mô hình tự chủ dần dần của NemoClaw — bắt đầu với mọi thứ cần phê duyệt, dần dần tự động hóa khi sự tự tin tăng lên — phản ánh cách các tổ chức xây dựng niềm tin. Nhân viên mới không được quyền truy cập sản xuất vào ngày đầu tiên. Tác nhân mới cũng không nên được.

Bức Tranh Lớn Hơn

NemoClaw không phải là kết thúc của câu chuyện bảo mật tác nhân AI. Đó là sự khởi đầu. Khi các tác nhân ngày càng có khả năng hơn — suy luận qua các khoảng thời gian dài hơn, phối hợp với các tác nhân khác, hoạt động trong môi trường vật lý — các thách thức bảo mật cũng sẽ phát triển.

Nhưng lần đầu tiên, chúng ta có một kiến trúc bảo mật cấp sản xuất được thiết kế đặc biệt cho tác nhân AI. Không phải chuyển đổi từ bảo mật ứng dụng web, không phải vay mượn từ điều phối container — xây dựng từ đầu cho một thế giới nơi các hệ thống AI tự chủ tương tác với cơ sở hạ tầng doanh nghiệp thực sự.

Lời Cảm Ơn

Gửi cộng đồng OpenClaw — các contributor, người dùng, nhà nghiên cứu bảo mật đã tìm ra lỗ hổng và tiết lộ có trách nhiệm: bạn đã xây dựng nền tảng mà NemoClaw đứng trên đó. Mỗi issue được tạo, mỗi PR được merge, mỗi cuộc thảo luận trên Discord về "điều gì xảy ra nếu tác nhân làm X" đã đóng góp vào mô hình bảo mật bảo vệ triển khai sản xuất ngày hôm nay.

Gửi NVIDIA — vì đã mang đến kỹ thuật bảo mật đẳng cấp thế giới, chuyên môn phần cứng và cam kết chân thành với mã nguồn mở: sự hợp tác này đã tạo ra thứ mà không tổ chức nào có thể xây dựng một mình.

Gửi Alex, nhà nghiên cứu đã trình diễn khai thác bắt đầu hành trình này: cảm ơn bạn đã thực hiện tiết lộ có trách nhiệm thay đổi quỹ đạo của chúng tôi. Bạn đã chỉ cho chúng tôi vấn đề cần giải quyết.

Con tôm hùm đã lột xác thêm một lần nữa. Và lần này, lớp vỏ mới được bọc thép.