Odaily Planet Daily báo cáo, ngày 31 tháng 3, công ty an ninh Web3 CertiK đã công bố Báo cáo an ninh OpenClaw, tổng quan và phân tích hệ thống các ranh giới an ninh và mô hình rủi ro phát sinh trong quá trình phát triển của OpenClaw, đồng thời đưa ra các khuyến nghị bảo vệ dành cho nhà phát triển và người dùng.
Báo cáo chỉ ra rằng kiến trúc của OpenClaw kết nối đầu vào bên ngoài với môi trường thực thi có quyền cao tại địa phương; thiết kế “khả năng mạnh + quyền cao” này đồng thời nâng cao mức độ tự động hóa và đặt ra yêu cầu an toàn cao hơn: mô hình an toàn ban đầu dựa trên “môi trường đáng tin cậy tại địa phương” dần bộc lộ hạn chế trong các kịch bản triển khai phức tạp. Dữ liệu cho thấy, trong giai đoạn từ tháng 11 năm 2025 đến tháng 3 năm 2026, OpenClaw đã tạo ra hơn 280 thông báo bảo mật trên GitHub và hơn 100 lỗ hổng CVE. Nghiên cứu đã tổng hợp các loại rủi ro điển hình cùng nguyên nhân của chúng từ nhiều khía cạnh như kiểm soát cổng, liên kết danh tính, cơ chế thực thi và hệ sinh thái plugin.
Trên cơ sở này, báo cáo đề xuất các khuyến nghị cụ thể dành cho nhà phát triển và người dùng: Nhà phát triển cần xây dựng mô hình đe dọa ngay từ giai đoạn đầu, tích hợp các cơ chế kiểm soát truy cập, cách ly sandbox và kế thừa quyền hạn vào thiết kế cốt lõi; đồng thời tăng cường kiểm tra và ràng buộc đối với plugin và đầu vào bên ngoài. Người dùng nên tránh để hệ thống tiếp xúc với mạng công cộng, tuân thủ nguyên tắc quyền tối thiểu, thực hiện liên tục việc kiểm toán cấu hình và quản lý cách ly môi trường để giảm thiểu rủi ro bị lạm dụng hoặc sử dụng sai mục đích.