Các tác nhân AI chạy trên máy chủ của bạn, truy cập công cụ của bạn, đọc dữ liệu của bạn và thực thi lệnh thay mặt bạn. Khi chúng hoạt động, chúng rất mạnh mẽ. Khi bị xâm phạm, chúng nắm giữ chìa khóa cho mọi thứ. Bối cảnh bảo mật tác nhân AI năm 2026 đáng lo ngại — các kỹ năng độc hại, máy chủ bị lộ và một CVE nghiêm trọng đã ảnh hưởng đến hàng trăm nghìn người dùng.
Hướng dẫn này bao gồm các rủi ro thực tế, những gì đã xảy ra cho đến nay, và cách bảo vệ bản thân dù bạn đang chạy Hermes Agent, OpenClaw, hay bất kỳ khung AI tự lưu trữ nào.
Bài học chính
Rủi ro lớn nhất không phải là tác nhân本身 — mà là các kỹ năng/plugin bạn cài đặt và hạ tầng bạn chạy nó. Kiểm tra mọi kỹ năng bên thứ ba, không để lộ cổng ra internet mà không có xác thực, và không bao giờ cho tác nhân truy cập hệ thống sản xuất mà không xem xét.
Những sự cố bảo mật nào đã xảy ra?
Ba sự kiện quan trọng định hình bối cảnh đe dọa hiện tại:
Chiến dịch kỹ năng độc hại của OpenClaw: Một cuộc kiểm toán của Koi Security trên 2.857 kỹ năng ClawHub phát hiện 341 mục độc hại — 335 liên quan đến một chiến dịch phối hợp duy nhất. Các kỹ năng này thực hiện trích xuất dữ liệu và chèn prompt mà không có sự hay biết của người dùng. Chính phủ Trung Quốc cấm OpenClaw trên máy tính của các công ty nhà nước vào tháng 3 năm 2026.
CVE-2026-25253: Một lỗ hổng nghiêm trọng trong OpenClaw với điểm CVSS 8.8 (mức độ nghiêm trọng cao). SecurityScorecard báo cáo hàng chục nghìn phiên bản OpenClaw bị lộ công khai — các máy chủ chạy khung tác nhân với cổng mở có thể truy cập từ internet.
Giải pháp hạn chế sử dụng của Anthropic: Anthropic thay đổi cách các tác nhân bên thứ ba xác thực với các gói Claude, tạo ra sự không chắc chắn cho bất kỳ ai chạy Claude qua các khung tác nhân. Đây không phải là sự cố bảo mật đúng nghĩa, nhưng nó làm gián đoạn mô hình hoạt động mà nhiều người dùng tác nhân dựa vào.
Hermes Agent xử lý bảo mật như thế nào?
Hermes áp dụng cách tiếp cận bảo thủ hơn OpenClaw, với một số tính năng bảo mật được tích hợp vào kiến trúc:
| Tính năng bảo mật | Hermes Agent | OpenClaw |
|---|---|---|
| Cứng hóa container | Có — root chỉ đọc, loại bỏ capabilities | Tùy chọn, không mặc định |
| Cách ly namespace | Có | Hạn chế |
| Quét trước thực thi | Có — quét lệnh terminal trước khi chạy | Không |
| Điểm kiểm tra filesystem | Có — có thể hoàn tác thay đổi | Không |
| Kiểm toán marketplace kỹ năng | Hệ sinh thái nhỏ hơn, ít lộ hơn | 13.700+ kỹ năng, 341 độc hại |
| CVE đã biết | 0 (tính đến tháng 5/2026) | CVE-2026-25253 (CVSS 8.8) |
💡 Lưu ý chân thành
Thành tích zero-CVE của Hermes phản ánh mức độ triển khai hạn chế (ra mắt tháng 2/2026), không phải khả năng bất khả xâm phạm đã được chứng minh. OpenClaw đã được triển khai ở quy mô lớn hơn nhiều và lâu hơn — triển khai nhiều hơn nghĩa là phát hiện lỗ hổng nhiều hơn. Cả hai khung đều cần xem xét bảo mật trước khi sử dụng sản xuất.
📬 Thấy hữu ích? Chúng tôi xuất bản hàng tuần về bảo mật AI và công cụ. Nhận vào hộp thư →
---Làm thế nào để bảo mật tác nhân AI tự lưu trữ?
Dù bạn chạy Hermes, OpenClaw hay bất kỳ khung tác nhân nào khác, các nguyên tắc này áp dụng:
1. Không bao giờ để lộ cổng ra internet công khai. Chạy tác nhân sau VPN hoặc dùng tunnel SSH. Hàng chục nghìn phiên bản OpenClaw bị lộ được phát hiện vì mọi người chạy tác nhân trên IP công khai với cổng mở.
2. Kiểm tra mọi kỹ năng bên thứ ba trước khi cài đặt. Đọc mã. Kiểm tra quyền nó yêu cầu. Xem ai đăng và khi nào. 335 kỹ năng độc hại trong một chiến dịch nghĩa là marketplace kỹ năng là bề mặt tấn công tích cực.
3. Chạy với quyền hạn tối thiểu. Đừng cho tác nhân quyền root. Đừng kết nối nó với cơ sở dữ liệu sản xuất. Sử dụng quyền chỉ đọc mọi nơi có thể. Nguyên tắc đặc quyền tối thiểu áp dụng cho tác nhân AI giống như người dùng con người.
4. Kích hoạt cách ly container. Hermes hỗ trợ container Docker với filesystem root chỉ đọc và loại bỏ capabilities. Sử dụng chúng. Nếu tác nhân bị xâm phạm, container hóa giới hạn bán kính nổ.
5. Giám sát chi phí API bất thường. Tác nhân bị xâm phạm chạy các lệnh API đắt đỏ có thể tích lũy hàng nghìn phí. Đặt giới hạn chi tiêu trên tài khoản nhà cung cấp LLM và giám sát các đỉnh bất thường.
6. Giữ tác nhân cập nhật. Cả Hermes và OpenClaw đều được phát triển tích cực. Bản vá bảo mật được phát hành thường xuyên. Chạy phiên bản mới nhất và đăng ký thông báo bảo mật.
Bạn có nên tin tưởng tác nhân AI với dữ liệu nhạy cảm?
Câu trả lời chân thành: chưa, với hầu hết trường hợp sử dụng. Tác nhân AI năm 2026 mạnh mẽ nhưng hệ sinh thái bảo mật còn non trẻ. Stanford HAI AI Index 2026 báo cáo rằng tác nhân thành công khoảng hai trên ba lần trên các benchmark có cấu trúc — tỷ lệ thất bại 33% quá cao cho các hoạt động nhạy cảm.
Sử dụng tác nhân cho các nhiệm vụ mà sai lầm có thể khắc phục và dữ liệu không bí mật. Nghiên cứu, lập lịch, bản nháp giao tiếp, phân tích dữ liệu trên tập dữ liệu không nhạy cảm — những cái này phù hợp. Giao dịch tài chính, quyết định y tế, hành động pháp lý, và bất cứ thứ gì liên quan đến PII khách hàng nên có xem xét con người trước khi thực thi.
Để biết thêm về cách hoạt động của tác nhân AI và hạn chế hiện tại của chúng, xem hướng dẫn đầy đủ của chúng tôi. Để so sánh công cụ AI tập trung quyền riêng tư, xem hướng dẫn quyền riêng tư AI của chúng tôi.
---📬 Muốn thêm nội dung tương tự? Cập nhật bảo mật AI và đánh giá công cụ, hàng tuần. Đăng ký miễn phí →
---Câu hỏi thường gặp
Hermes Agent có an toàn hơn OpenClaw không?
Hermes có thiết lập bảo mật mặc định bảo thủ hơn và zero CVE, nhưng nó cũng trẻ hơn và ít được thử nghiệm thực tế hơn. Không khung nào nên được coi là an toàn mà không có xem xét bảo mật của riêng bạn. Chọn dựa trên trường hợp sử dụng, không chỉ tuyên bố bảo mật.
Tác nhân AI có thể bị hack qua chèn prompt không?
Có. Chèn prompt — nơi nội dung độc hại trong tài liệu hoặc tin nhắn lừa tác nhân thực thi hành động không mong muốn — là rủi ro tích cực cho tất cả khung tác nhân AI. Trình quét trước thực thi của Hermes giúp ích nhưng không hoàn hảo.
Tôi có nên chạy tác nhân AI trên máy tính cá nhân không?
Để thử nghiệm và sử dụng nhẹ, có. Để sử dụng sản xuất luôn bật, VPS được khuyến nghị — nó cách ly tác nhân khỏi dữ liệu cá nhân và cung cấp truy cập kiểm soát hơn. Không bao giờ chạy tác nhân trên máy có dữ liệu cá nhân hoặc tài chính nhạy cảm mà không có container hóa.
Tiết lộ: Một số liên kết trong bài viết này là liên kết liên kết. Chúng tôi chỉ khuyến nghị công cụ chúng tôi đã thử nghiệm và sử dụng thường xuyên. Xem chính sách tiết lộ đầy đủ của chúng tôi.