OpenClaw là gì? Hướng dẫn về Trợ lý AI mã nguồn mở

Đa số công cụ AI dành thời gian trả lời câu hỏi. OpenClaw được xây dựng để thực thi hành động. Khoảng cách đó là điều đã giúp nó vượt qua Linux trong danh sách sao mọi thời đại trên GitHub chỉ trong vài tháng sau khi ra mắt.

Về bản chất: một môi trường chạy tự lưu trữ kết nối các mô hình AI với terminal, tệp, trình duyệt và ứng dụng nhắn tin của bạn. Gửi cho nó một tin nhắn WhatsApp và nó có thể tìm trên ổ đĩa, chạy shell script, kiểm tra một trang web và trả lời ngay trong cùng luồng. Chatbot thì không làm được những điều đó.

Lời giới thiệu nghe mượt hơn thực tế. OpenClaw cần thiết lập kỹ thuật, hồ sơ bảo mật năm 2026 có những sự cố nghiêm trọng, và kho kỹ năng công khai của nó từng bị tấn công malware có tổ chức. Đây là những điều đáng biết trước khi bắt đầu.

OpenClaw là gì?

OpenClaw miễn phí, mã nguồn mở (giấy phép MIT) và được thiết kế để chạy trên phần cứng bạn sở hữu. Nó do Peter Steinberger, một nhà phát triển người Áo nổi tiếng với PSPDFKit, tạo ra và ra mắt tháng 11/2025 với tên gọi Clawdbot. Anthropic đã gửi khiếu nại nhãn hiệu về tên gọi, và nó thành Moltbot vào ngày 27/01/2026, rồi ba ngày sau chuyển thành OpenClaw vì, theo lời Steinberger, "Moltbot nghe không thật trôi chảy." Linh vật tôm hùm, Molty, vẫn còn sau mọi lần đổi tên.

OpenClaw kết nối mô hình với công cụ cục bộ. Ảnh: Tác giả.

Một điều nhiều người dễ vấp: OpenClaw không phải là mô hình AI. Nó kết nối đến nhà cung cấp được cấu hình riêng, đám mây hoặc cục bộ; mô hình đó đảm nhận suy luận còn OpenClaw phụ trách định tuyến, bộ nhớ và thực thi công cụ.

Lõi là một dịch vụ Node.js tên Gateway. Nó chạy nền trên cổng 18789, định tuyến tin nhắn giữa ứng dụng chat và mô hình, chạy mọi lệnh gọi công cụ, và giữ khóa API của bạn để các ứng dụng kết nối không chạm trực tiếp vào chúng.

Tất cả điều này khiến nó rất khác chatbot. OpenClaw có thể chạy lệnh shell, đọc và ghi tệp, điều khiển trình duyệt, và chạy tác vụ theo lịch trong khi bạn không theo dõi.

Vì sao OpenClaw trở nên phổ biến

OpenClaw từ 9.000 sao GitHub ngày đầu lên hơn 195.000 trong vòng 66 ngày, được cho là nhanh gấp 18 lần Kubernetes.

Các nhà phát triển đã mong muốn điều này từ lâu: một trợ lý hoàn thành nhiệm vụ thay vì chỉ trả lời, chạy trên phần cứng của riêng bạn và kết nối với ứng dụng.

Đến tháng 4/2026, dự án đã vượt 346.000 sao. Steinberger thông báo gia nhập OpenAI ngày 15/02/2026, và dự án chuyển hướng đến cấu trúc quỹ với sự hậu thuẫn của OpenAI. Nó vẫn giữ giấy phép MIT và do cộng đồng nắm giữ, không bị thâu tóm theo nghĩa truyền thống.

Ý kiến trái chiều. Một số người thích ý tưởng. Số khác vấp phải vấn đề thiết lập, độ tin cậy và chi phí. Tự động hóa phức tạp thường gây thất vọng hơn kỳ vọng và chi phí token khiến nhiều người bất ngờ. Bên cạnh đó, quá trình thiết lập không thân thiện với người mới.

Cách OpenClaw hoạt động: Gateway, công cụ và vòng lặp tác nhân

Mọi thứ đều đi qua Gateway, và điểm kiểm soát duy nhất đó là điều phân biệt OpenClaw với một lớp bọc mô hình đơn thuần.

Khi bạn gửi tin nhắn, Gateway nhận từ bất kỳ kênh nào bạn dùng, đính kèm ngữ cảnh từ tệp bộ nhớ của tác nhân và các kỹ năng đang nạp, rồi chuyển gói đó cho mô hình AI đã cấu hình. Nếu mô hình muốn thực hiện hành động (chạy lệnh, truy cập trang, đọc tệp), nó báo ý định về Gateway. Gateway chạy hành động trên hệ thống host, hoặc trong sandbox nếu bạn đã thiết lập, và trả kết quả. Nó có thể xâu chuỗi vài bước trước khi tạo phản hồi cuối.

Mô hình không bao giờ nói chuyện trực tiếp với hệ thống tệp hoặc terminal của bạn.

Mọi hành động đều đi qua Gateway. Ảnh: Tác giả.

Bộ nhớ và lập lịch

OpenClaw lưu bộ nhớ trong các tệp Markdown thuần trong workspace của tác nhân (~/.openclaw/workspace). Tệp chính, MEMORY.md, chứa các sự kiện bền vững và ưu tiên, được nạp khi bắt đầu mỗi phiên. SOUL.md định nghĩa tính cách và giọng điệu. AGENTS.md lưu các quy tắc hành vi. Vì mô hình đọc tất cả những tệp này khi khởi động phiên, các chỉnh sửa bạn thực hiện sẽ tồn tại qua lần khởi động lại.

Lập lịch chạy theo hai đường. Heartbeat là các lần kiểm tra định kỳ trong phiên chính, mặc định mỗi 30 phút với hầu hết nhà cung cấp. Một tệp HEARTBEAT.md dạng checklist cho tác nhân biết cần rà soát gì mỗi lần. Cron job chạy vào thời điểm chính xác trong các phiên cách ly, điều bạn cần khi thời điểm quan trọng, như báo cáo hằng ngày. Cả hai đều đốt token mỗi lần chạy, nên (mẹo nhỏ) tác vụ mở vô hạn thực sự nên có điều kiện dừng rõ ràng.

Mô hình và kênh được hỗ trợ

OpenClaw không bị ràng buộc với một nhà cung cấp mô hình. Nó hoạt động với Anthropic, OpenAI, Google, AWS Bedrock, và máy chủ cục bộ qua Ollama hoặc LM Studio. Mô hình cục bộ cần ít nhất cửa sổ ngữ cảnh 64.000 token vì lượng ngữ cảnh OpenClaw chèn vào khi khởi động phiên. Về phía kênh, nó hỗ trợ WhatsApp, Telegram, Discord, Slack, Google Chat, Signal, iMessage, Matrix, Microsoft Teams, và nhiều hơn nữa.

Trường hợp sử dụng OpenClaw: Thực sự làm được gì

Mức độ hữu ích phụ thuộc vào việc bạn định nghĩa nhiệm vụ chặt chẽ thế nào. Yêu cầu rộng sẽ trôi dạt. Nhiệm vụ hẹp, lặp lại với đầu vào rõ ràng thường hoạt động tốt.

• Năng suất cá nhân: Trường hợp dùng đáng tin cậy nhất là bản tóm tắt buổi sáng: một tác vụ theo lịch heartbeat kéo email gần đây, sự kiện lịch và tin tức, rồi gửi bản tóm tắt tới điện thoại bạn.
• Quy trình của nhà phát triển: OpenClaw có thể kiểm tra repository, chạy script build, kiểm tra log, và quản lý pull request thông qua GitHub CLI hoặc máy chủ MCP. Hãy dùng token giới hạn phạm vi repo với ngày hết hạn. Quyền truy cập shell rộng thì hữu ích nhưng cũng là nguồn dễ xảy ra xóa tệp nhầm hoặc rò rỉ thông tin xác thực từ tệp .env tình cờ nằm trong phạm vi.
• Tự động hóa web: Tác nhân có thể duyệt trang, trích xuất dữ liệu và tương tác giao diện trình duyệt qua Chrome DevTools Protocol. Điều nó không thể làm là phân biệt trang thật với trang cài sẵn chỉ dẫn độc hại trong HTML. Khi bạn cấp trình duyệt cho tác nhân, nội dung bên ngoài trở thành bề mặt tấn công. Tôi sẽ đề cập trường hợp đã được ghi nhận đúng như vậy trong phần bảo mật.
• Quản lý tệp và tài liệu: Hoạt động tốt khi thư mục gốc workspace là một thư mục dành riêng, không có gì nhạy cảm. Kiểu lỗi dự đoán được: cho nó truy cập thư mục home của bạn, rồi thế nào nó cũng sẽ đọc thứ bạn không định chia sẻ.
• Tự động hóa theo lịch: Đáng tin cậy cho các tác vụ lặp lại, xác định rõ. Một trường hợp được ghi nhận đã tiêu tốn vài nghìn đô chi phí API trong một ngày vì một tác vụ mở vô hạn chạy không có giới hạn token. Hãy đặt giới hạn trước khi đặt lịch.

Kỹ năng OpenClaw và ClawHub: Nên biết gì và cần tránh gì

Kỹ năng là cách người dùng mở rộng OpenClaw vượt ra ngoài khả năng tích hợp sẵn. Chúng cũng là con đường dự án bị đánh vào chuỗi cung ứng nghiêm trọng trong không gian tác nhân mã nguồn mở.

Kỹ năng là gì

Một kỹ năng là một thư mục chứa tệp SKILL.md với frontmatter YAML và phần thân Markdown. Frontmatter khai báo tên, mô tả, các binary yêu cầu và biến môi trường của kỹ năng. Bên dưới, phần thân Markdown là ngôn ngữ tự nhiên: chỉ dẫn mà tác nhân làm theo khi nó quyết định kỹ năng phù hợp với tác vụ hiện tại.

Thư mục tùy chọn references/ chứa tài liệu API, và thư mục tùy chọn scripts/ chứa script hỗ trợ. Vì kỹ năng là văn bản chứ không phải mã biên dịch, bạn có thể đọc chúng trước khi chạy bất cứ thứ gì.

Mọi kỹ năng đều theo định dạng hai phần này. Ảnh: Tác giả.

Kỹ năng tuân theo tiêu chuẩn mở AgentSkills, nên định dạng này cũng hoạt động với Claude Code, Cursor và các công cụ tương tự. Trên thực tế, đa số kỹ năng trên ClawHub được viết riêng cho mô hình gateway của OpenClaw và dựa vào quyền truy cập công cụ mà các môi trường kia không cung cấp.

ClawHub, sổ đăng ký công khai tại clawhub.ai, dùng tìm kiếm ngữ nghĩa dựa trên vector, nên bạn có thể tìm kỹ năng bằng truy vấn ngôn ngữ tự nhiên. Xuất bản yêu cầu tài khoản GitHub ít nhất một tuần tuổi. Kho đã tăng lên hơn 44.000 kỹ năng vào đầu năm 2026.

Kho kỹ năng của ClawHub, tổ chức theo danh mục. Ảnh: Tác giả.

Cuộc tấn công chuỗi cung ứng ClawHavoc

Ngày 01/02/2026, nhà nghiên cứu Koi Security Oren Yomtov đã kiểm tra 2.857 kỹ năng trên ClawHub và phát hiện 341 kỹ năng độc hại, 335 trong số đó từ một chiến dịch phối hợp tên ClawHavoc. Nó dùng kỹ nghệ xã hội: một mục "Prerequisites" giả bảo người dùng dán lệnh shell. Trên macOS, payload là Atomic macOS Stealer, thu thập mật khẩu trình duyệt, mục trong keychain, ví tiền điện tử, khóa SSH và dữ liệu phiên Telegram.

Con số tiếp tục tăng. Đến giữa tháng 2, kho vượt 10.700 kỹ năng, và phân tích sau đó đưa tổng số độc hại vượt 1.000 ở nhiều tài khoản. Một đợt kiểm tra rộng hơn với hơn 31.000 kỹ năng đánh dấu khoảng 7,6% là rủi ro, và quét Snyk phát hiện 36% có tiêm lệnh trong lời nhắc ở mức có thể phát hiện.

ClawHub hiện chạy quét tự động và tích hợp VirusTotal, chặn được nhiều thứ, nhưng tiêm lệnh trong văn bản chỉ dẫn vẫn có thể lọt. Hãy đọc SKILL.md trước khi cài bất kỳ thứ gì, và nếu nó bảo bạn dán lệnh hoặc cài binary ngoài quy trình bình thường, hãy bỏ qua. Cũng đừng chất đống kỹ năng bên thứ ba ngay ngày đầu. Bắt đầu với tối thiểu bạn cần và giữ kỹ năng không rõ nguồn cách xa tệp, tài khoản nhạy cảm.

So sánh kỹ năng OpenClaw với Claude Skills

Cả hai định dạng đều dùng cùng cấu trúc SKILL.md. Khác biệt nằm ở nơi kỹ năng thực thi. Claude Skills chạy trong hạ tầng quản lý của Anthropic. Kỹ năng OpenClaw chạy trên máy của bạn, trong ranh giới tin cậy đầy đủ của tác nhân, với quyền truy cập tệp cục bộ, lệnh shell, và phiên trình duyệt. Khoảng cách về vùng ảnh hưởng này là lý do rủi ro chuỗi cung ứng quan trọng hơn ở đây so với môi trường được lưu trữ.

Cách thiết lập OpenClaw

Các bước dưới đây bao quát luồng ở mức cao. Nếu bạn muốn ảnh chụp màn hình và lệnh từng bước, hướng dẫn OpenClaw của chúng tôi đi qua toàn bộ quy trình từ đầu.

Trước khi cài đặt

Bạn cần Node.js 24 (Node 22.19 cũng dùng được) và hoặc một khóa API từ nhà cung cấp mô hình được hỗ trợ hoặc một máy chủ mô hình cục bộ đáp ứng tối thiểu cửa sổ ngữ cảnh 64.000 token như tôi đã đề cập. Trên Windows, WSL2 với Ubuntu là con đường khuyến nghị; Windows native có hạn chế quanh daemon gateway. Nhu cầu phần cứng nhẹ cho sử dụng cơ bản, nhưng thiết lập mô hình cục bộ là câu chuyện khác.

Một quyết định cần làm trước: sẽ chạy ở đâu? Máy cục bộ phù hợp để thử nghiệm, nhưng cho bất kỳ thứ gì cần luôn bật, hãy dùng VPS chuyên dụng hoặc máy riêng thay vì máy làm việc chính của bạn.

Luồng thiết lập cấp cao

curl -fsSL https://openclaw.ai/install.sh | bash

Sau đó chạy trình hướng dẫn onboard:

openclaw onboard --install-daemon

Phần này đi qua chọn nhà cung cấp mô hình, thiết lập khóa API và cấu hình Gateway. Sau khi xong, xác nhận Gateway đang chạy:

openclaw gateway status

Rồi mở dashboard:

openclaw dashboard

Hãy gửi một tin nhắn thử nghiệm từ kênh rủi ro thấp trước khi kết nối bất kỳ thứ gì nhạy cảm.

Giao diện Control tại cổng 18789. Ảnh: Tác giả.

Thiết lập mặc định an toàn cần cấu hình ngay

Hai lệnh tường lửa dưới đây quan trọng hơn cả. Chạy chúng trước khi làm gì khác:

openclaw config set gateway.bind localhost
sudo ufw deny 18789/tcp

Lệnh đầu ràng Gateway chỉ lắng nghe loopback. Lệnh thứ hai chặn cổng từ ngoài. Hơn 220.000 instance OpenClaw từng có thể truy cập công khai trên internet ở giai đoạn đỉnh điểm, chủ yếu vì người dùng bỏ qua bước này theo các hướng dẫn cũ. Hãy dùng hồ sơ trình duyệt riêng cho mọi tự động hóa trình duyệt. Chạy openclaw security audit --deep sau khi cài bất kỳ kỹ năng nào. Dùng token xác thực. Giữ tệp nhạy cảm ngoài thư mục gốc workspace.

Chạy cục bộ không đồng nghĩa chạy an toàn. Một instance cục bộ với quyền shell, quyền tệp và ứng dụng nhắn tin kết nối là một bề mặt tấn công thực sự bất kể mô hình chạy ở đâu.

Rủi ro bảo mật của OpenClaw

Những rủi ro này là đặc thù của OpenClaw, và vài sự cố dưới đây đã bị khai thác nhắm vào người dùng thực.

Hồ sơ CVE

CVE-2026-25253 (CVSS 8,8) là lỗi đã bị khai thác tích cực. Trước phiên bản 2026.1.29, một liên kết độc hại có thể âm thầm chuyển hướng kết nối WebSocket của giao diện điều khiển đến máy chủ do kẻ tấn công kiểm soát. Token xác thực và khóa thiết bị của nạn nhân được gửi tự động trong quá trình bắt tay, nên chỉ một cú nhấp vào liên kết được tạo là đủ. Kẻ tấn công nắm chúng sẽ có toàn quyền điều khiển Gateway và có thể chạy lệnh shell tùy ý. Bản vá 2026.1.29 thêm lời nhắc xác nhận để đóng lỗ hổng.

CVE-2026-32922 (CVSS 9,9) được công bố ngày 29/03/2026. Một bên gọi với phạm vi token tối thiểu có thể leo thang lên quyền admin đầy đủ và đạt thực thi mã từ xa trên mọi nút kết nối. Đã vá ở 2026.3.11. Nếu instance của bạn cũ hơn 2026.3.11, hãy cập nhật ngay. Hơn 60 khuyến cáo bảo mật đã được nộp cho dự án kể từ khi ra mắt.

Phơi nhiễm internet và tiêm lệnh trong lời nhắc

Như đã đề cập, hơn 220.000 instance từng bị lộ công khai ở đỉnh điểm, với hơn 17.500 dễ bị tấn công theo lớp CVE-2026-25253. Cấu hình mặc định hiện tại ràng buộc vào loopback, nhưng cấu hình cũ và hướng dẫn cộng đồng không phải lúc nào cũng phản ánh điều đó.

Tiêm lệnh trong lời nhắc là vấn đề tinh vi hơn. OpenClaw đọc trang web, email, tài liệu và log như một phần công việc. Nếu bất kỳ nội dung nào chứa chỉ dẫn độc hại, tác nhân có thể làm theo. Nghiên cứu trường hợp Promptfoo tháng 3/2026 cho thấy một tác nhân kiểm tra những gì nó có thể truy cập, đọc tệp cục bộ, ghi tệp và gửi tin nhắn trái phép, tất cả được kích hoạt chỉ bằng việc truy cập một trang web. Nó hiệu quả vì duyệt web, truy cập tệp và nhắn tin ra ngoài cùng chung một ranh giới tin cậy không tách biệt.

Tệ hơn, chỉ dẫn từ nguồn độc hại cài vào SOUL.md hoặc AGENTS.md tồn tại qua các phiên và lần khởi động lại. Tác nhân mang chúng theo mà không cần tác nhân kích hoạt bên ngoài.

Cách giảm thiểu rủi ro

Hầu hết là các mặc định an toàn đã nêu: cập nhật thường xuyên, giữ Gateway trên localhost với cổng bị chặn, dùng token xác thực, để tệp nhạy cảm ngoài workspace, và kiểm tra sau khi thay đổi. Dùng sandbox Docker cho tác vụ chạm đầu vào bên ngoài, dùng token API chi tiết với ngày hết hạn, và coi SOUL.md và AGENTS.md là tệp cấu hình cần giám sát chứ không phải văn bản có thể bỏ qua.

Kết quả kiểm tra sau khi cài một kỹ năng. Ảnh: Tác giả.

OpenClaw không rủi ro vì là mã nguồn mở. Nó rủi ro vì nó có thể thực hiện hành động đặc quyền nếu bạn cấu hình như vậy.

OpenClaw có xứng đáng không? Đánh giá thẳng thắn

Phần này là quan điểm cá nhân của tôi, không phải tuyên bố thực tế. Tác nhân thực thi hành động thay vì chỉ trả lời là một loại khác so với chatbot, và OpenClaw là ví dụ rõ ràng.

Có xứng đáng hay không phụ thuộc gần như hoàn toàn vào người dùng. Một nhà phát triển quen công cụ terminal, log, giám sát API và sandboxing có thể khiến nó hữu ích trong các quy trình hẹp. Như tôi đã đề cập, các thiết lập bền vững là những thiết lập hẹp. Thất bại xảy ra khi ai đó đấu nối mọi công cụ, cài cả tá kỹ năng mà không đọc, và để heartbeat chạy trên lời nhắc mở, rồi kỳ vọng hành xử tốt.

Nhận định của tôi: Tự động hóa phức tạp có thể tốn công bảo trì hơn giá trị mang lại, và trường hợp dùng đáng tin nhất có lẽ là tóm tắt tin tức hằng ngày. Đó là mức lợi ích mỏng so với công sức thiết lập. Cách đóng khung đúng là hạ tầng, không phải trợ lý. Hãy coi nó như vậy, bắt đầu nhỏ, và giữ giới hạn nghiêm ngặt. Nếu bạn muốn một ứng dụng tiêu dùng thông minh, hiện tại vẫn chưa phải nó.

OpenClaw so với ChatGPT, Claude, Cursor và Zapier

ChatGPT và Claude là giao diện chat không trạng thái: không có tác vụ theo lịch bền vững, không truy cập tệp cục bộ theo mặc định.

Claude Code và Cursor được giới hạn cho phát triển phần mềm bên trong một repository; chúng giỏi về mã hơn OpenClaw, nhưng đó là tất cả những gì chúng làm. Claude Code cũng đã bổ sung tính năng lập lịch lưu trữ trên đám mây tên Routines vào tháng 4/2026, bao phủ một phần những gì HEARTBEAT của OpenClaw làm mà không cần gánh nặng hạ tầng.

Zapier và n8n là công cụ quy trình làm việc có tính quyết định nơi mọi bước được định nghĩa sẵn, giúp dễ kiểm toán hơn nhưng kém xử lý những yêu cầu mơ hồsts than an agent interpreting natural language.

Một góc nhìn từ cộng đồng năm 2026 hữu ích ở đây: xem OpenClaw là lớp suy luận cho tác vụ mơ hồ, còn n8n hoặc Zapier là lớp thực thi cho tác vụ khối lượng lớn, có thể dự đoán, kết nối qua webhook. Hai bên không phải lúc nào cũng cạnh tranh.

Ai phù hợp với OpenClaw

Các nhà phát triển tự động hóa quy trình kỹ thuật lặp lại và các nhà nghiên cứu nghiên cứu tác nhân biết dùng công cụ là phù hợp nhất. Người dùng homelab vốn đã quản lý dịch vụ tự lưu trữ sẽ thấy thiết lập này quen thuộc.

Ai nên tránh OpenClaw?

Bất kỳ ai không thoải mái với lệnh terminal, quyền tệp và quản lý khóa API nên chờ. Thiết lập này không thân thiện với người mới.

Ngoài ra, ai xử lý tệp nhạy cảm mà không có môi trường sandbox cũng nên tạm dừng. Các nhóm có yêu cầu tuân thủ có thể cần lựa chọn quản lý như AWS Bedrock Agents. Và nếu bạn không sẵn sàng kiểm tra mã kỹ năng cộng đồng trước khi cài, tốt nhất đừng chạy kỹ năng ClawHub trên máy chứa thông tin xác thực thật.

Kết luận

OpenClaw quan trọng vì nó cho thấy tác nhân AI cá nhân trông như thế nào khi có thể làm việc: không phải chatbot thông minh hơn, mà là hệ thống có quyền truy cập tệp, shell, trình duyệt và ứng dụng nhắn tin của bạn.

Rủi ro cũng đến từ chính lý do đó. Quyền truy cập giúp tạo bản tóm tắt buổi sáng hay quy trình review PR là cùng quyền truy cập mà ClawHavoc đã biến thành đánh cắp thông tin xác thực.

Bắt đầu với một tác vụ. Chạy trong môi trường cách ly. Đặt giới hạn. Như đã đề cập, hãy xem kỹ kỹ năng trước khi cài. OpenClaw không phải sản phẩm cài xong rồi quên. Nó là hạ tầng, và xem nó như hạ tầng ngay từ đầu là điều giữ cho thử nghiệm không biến thành sự cố.

Để đọc thêm, hướng dẫn dự án OpenClaw và hướng dẫn kỹ năng ClawHub của chúng tôi nêu những gì mọi người đang xây dựng. Khóa học Lập trình với hỗ trợ AI cho Nhà phát triển bao quát kỹ năng tác nhân ở phạm vi rộng hơn.