Cách Một Dự Án ‘Vọc’ Cuối Tuần Trở Thành Bản Thiết Kế Cho Các AI Agent Luôn Sẵn Sàng

Phiên bản đầu tiên của Clawdbot, được xây dựng trong khoảng một giờ vào tối thứ Sáu , là một trợ lý ưu tiên chạy cục bộ, có thể đọc tin nhắn, duyệt web và chạy lệnh shell thay mặt ông thông qua các ứng dụng nhắn tin . Ban đầu nó kết nối với API của Claude, nhưng kiến trúc được cố ý thiết kế để không phụ thuộc vào bất kỳ mô hình cụ thể nào – người dùng có thể cắm bất kỳ mô hình ngôn ngữ lớn (LLM) nào, từ OpenAI, Anthropic cho đến các mô hình nội bộ chạy qua Ollama .

Tăng trưởng phi mã và kiến trúc chiến thắng

Kiến trúc của OpenClaw dựa trên ba trụ cột tỏ ra không thể cưỡng lại đối với các nhà phát triển:

• Giao diện ưu tiên nhắn tin: Thay vì một ứng dụng hay tab trình duyệt riêng biệt, người dùng tương tác với AI agent của họ qua WhatsApp, Telegram, Slack và hơn một chục nền tảng khác mà họ vốn đã sử dụng .
• Tự lưu trữ và giấy phép MIT: Không bị khóa nhà cung cấp, không phụ thuộc đám mây. Bất kỳ ai cũng có thể chạy nó trên máy của mình .
• Cổng kết nối không phụ thuộc mô hình: Nó không bị ràng buộc với một nhà cung cấp AI duy nhất, hỗ trợ mọi thứ từ Claude, GPT đến Gemini và các mô hình cục bộ .

Đường cong tăng trưởng đã phá vỡ mọi khuôn mẫu trong lịch sử mã nguồn mở. Dự án đạt 190.000 sao chỉ trong 14 ngày đầu tiên lan truyền . Đến tháng 2 năm 2026, nó đã vượt mốc 200.000 sao . Vào ngày 3 tháng 3 năm 2026, nó vượt qua React để trở thành dự án phần mềm được gắn sao nhiều nhất trên GitHub – một cột mốc mà React phải mất 13 năm để đạt được; OpenClaw làm điều đó trong khoảng 100 ngày . Tính đến đầu tháng 6 năm 2026, kho lưu trữ có khoảng 377.000 sao GitHub, trở thành dự án được gắn sao nhiều thứ sáu trong lịch sử GitHub .

Cuộc đổ bộ của các đại gia: Microsoft, Google và Meta

Microsoft Scout: Không phải "giống OpenClaw" – mà là cổng kết nối thật

Tại hội nghị Microsoft Build vào ngày 2 tháng 6 năm 2026, Microsoft đã ra mắt Scout, agent "Autopilot" đầu tiên của họ, được xây dựng trực tiếp trên cổng kết nối OpenClaw . Không giống như các tính năng AI trước đây chỉ tồn tại trong từng ứng dụng riêng lẻ, Scout là một agent luôn hoạt động, mang danh tính cố định, hoạt động xuyên suốt Teams, Outlook, OneDrive và SharePoint, chủ động quản lý lịch, email và công việc mà không cần được nhắc nhở .

Mối quan hệ này không phải là "cảm hứng" mà là sự tích hợp thực sự. Microsoft xác nhận rằng Scout sử dụng trực tiếp cổng OpenClaw, không phải bản sao hay nhánh rẽ . Công ty cũng cam kết đóng góp ngược trở lại dự án gốc, bổ sung các tính năng bảo mật doanh nghiệp và tuân thủ chính sách vào lõi mã nguồn mở . Điều này đánh dấu một sự đảo ngược ngoạn mục so với tháng 3 năm 2026, khi CEO Satya Nadella nói với khán giả Morgan Stanley rằng việc phát hành OpenClaw trong nội bộ Microsoft sẽ bị coi là "Microsoft phát tán virus" .

Google Gemini Spark và Meta Hatch

Google tiếp cận theo cách khác. Gemini Spark, trợ lý luôn hoạt động của họ, đã xây dựng lại các khái niệm của OpenClaw bên trong hệ sinh thái Gemini trong khi vẫn giữ lớp giao diện dưới sự kiểm soát của Google . Thay vì sử dụng cổng mã nguồn mở, Google đã dùng cùng một mẫu kiến trúc – một tác nhân tự hành với danh tính cố định, chủ động quản lý tác vụ người dùng – nhưng gắn nó với các ứng dụng Gemini và hệ sinh thái mô hình riêng của Gemini .

Meta được cho là đang chuẩn bị một agent hướng đến người tiêu dùng có tên Hatch, được xây dựng trên kiến trúc kiểu OpenClaw và nhắm đến tự động hóa cá nhân, đa ứng dụng cho người dùng hàng ngày . Cuộc chiến nền tảng ba bên – hướng doanh nghiệp của Microsoft, hệ sinh thái kiểm soát của Google và hướng người dùng của Meta – đã củng cố thiết kế của OpenClaw như kiến trúc tham chiếu thực tế cho toàn ngành .

Khủng hoảng bảo mật: Hơn 30.000 phiên bản bị lộ và 9 CVE trong 4 ngày

Sự phát triển bùng nổ của OpenClaw đã vượt xa tình trạng bảo mật của nó một khoảng cách rất lớn. Framework này được vận chuyển với chế độ xác thực bị tắt theo mặc định, nghĩa là các triển khai mới sẽ phơi bày toàn bộ bảng điều khiển agent của họ ra internet trừ khi người vận hành cấu hình tường lửa thủ công .

Vào ngày 31 tháng 1 năm 2026, các cuộc quét của Censys và Bitsight đã tiết lộ 21.639 phiên bản bị lộ . Các cuộc quét tiếp theo tìm thấy từ 30.000 đến 135.000 phiên bản riêng biệt đang chạy trên các máy chủ có thể truy cập công khai . Ít nhất 63% trong số này không hề được cấu hình xác thực .

Thác đổ CVE

Lỗ hổng nghiêm trọng đầu tiên, CVE-2026-25253, được tiết lộ vào ngày 3 tháng 2 năm 2026. Được đánh giá CVSS 8.8, đây là lỗ hổng thực thi mã từ xa chỉ với một cú nhấp chuột thông qua lỗi xác thực nguồn gốc WebSocket, cho phép kẻ tấn công chiếm quyền điều khiển bất kỳ phiên bản OpenClaw nào đang chạy, ngay cả những phiên bản chỉ lắng nghe trên localhost, chỉ bằng cách khiến người dùng truy cập một trang web độc hại . Hơn 40.000 phiên bản được phát hiện có nguy cơ bị khai thác từ xa tại thời điểm tiết lộ .

Từ ngày 18 đến 21 tháng 3 năm 2026, chín CVE đã được tiết lộ chỉ trong bốn ngày, bao gồm các lỗ hổng leo thang đặc quyền nghiêm trọng như CVE-2026-32922 và các khai thác zero-click . Mật độ lỗ hổng được các nhà nghiên cứu bảo mật mô tả là "đáng kinh ngạc" .

ClawHavoc: Kho plugin bị vũ khí hóa

Những kẻ tấn công không chỉ khai thác lỗ hổng mã – chúng còn đầu độc chuỗi cung ứng. Chiến dịch ClawHavoc đã cài 1.184 plugin độc hại trên ClawHub, chợ plugin cộng đồng của OpenClaw, chiếm khoảng 20% toàn bộ kho . Một plugin độc hại đã tích lũy được 340.000 lượt cài đặt trước khi bị gỡ bỏ .

Các plugin bị xâm nhập này âm thầm đánh cắp khóa API, mã thông báo OAuth và biến môi trường. Một số phát tán phần mềm đánh cắp thông tin như Atomic macOS Stealer (AMOS), trong khi số khác chỉ kích hoạt sau 72 giờ hoạt động bình thường để vượt qua các lần quét bảo mật ban đầu . Đến giữa tháng 2 năm 2026, các nhà phân tích đã quan sát thấy hơn 30.000 phiên bản bị xâm nhập đang được sử dụng tích cực để đánh cắp thông tin xác thực và chặn tin nhắn .

Vụ rò rỉ Moltbook càng làm trầm trọng thêm thiệt hại, làm lộ 35.000 email và 1,5 triệu mã thông báo agent liên quan đến các triển khai OpenClaw . Meta đã cấm OpenClaw trên các thiết bị của công ty . Hơn 60 CVE đã được tiết lộ trong vòng ba tháng .

Quản trị và thương vụ chiêu mộ của OpenAI

Vào ngày 14 tháng 2 năm 2026, Peter Steinberger đã đăng ba đoạn văn trên blog cá nhân thông báo ông sẽ gia nhập OpenAI trong một thương vụ "acqui-hire" – mua lại để chiêu mộ nhân tài . Sam Altman xác nhận động thái này vào ngày hôm sau, tuyên bố Steinberger sẽ "thúc đẩy thế hệ agent cá nhân tiếp theo" .

Trong cùng thông báo đó, Steinberger đã chuyển OpenClaw sang mô hình quản trị độc lập được hậu thuẫn bởi một tổ chức phi lợi nhuận – Quỹ OpenClaw – với sự tài trợ của OpenAI . Quá trình chuyển đổi này đảm bảo dự án vẫn là mã nguồn mở và được quản trị bởi cộng đồng ngay cả khi người tạo ra nó chuyển sang xây dựng hạ tầng AI agent tại OpenAI .

Tại sao OpenClaw trở thành kiến trúc tham chiếu

OpenClaw thành công không phải vì nó là framework tinh vi hay bảo mật nhất, mà vì nó giải quyết một nhu cầu cơ bản của người dùng vào đúng thời điểm: một trợ lý AI bền bỉ, luôn hoạt động mà bạn có thể nhắn tin như một con người, với kiến trúc đủ mở để bất kỳ ai cũng có thể chạy, đủ linh hoạt về mô hình để hoạt động với bất kỳ LLM nào, và đủ đơn giản để triển khai trong một giờ.

Sự chấp nhận của các đại gia công nghệ – Microsoft xây dựng Scout trực tiếp trên cổng OpenClaw, Google sao chép mô hình với Gemini Spark, và Meta chuẩn bị ra mắt Hatch – đã xác nhận kiến trúc đó như một tiêu chuẩn công nghiệp. Cuộc khủng hoảng bảo mật và quá trình chuyển đổi quỹ sau đó đã giúp nó trưởng thành từ một thử nghiệm của dân nghiệp dư thành hạ tầng mà các doanh nghiệp có thể bắt đầu tin tưởng, dù còn dè dặt.