Bạn không thể chỉ xóa OpenClaw: Hướng dẫn gỡ đúng cách, xóa dữ liệu và thu hồi quyền truy cập

Nghiên cứu của OX Security cho thấy các phương pháp gỡ cài đặt xóa OpenClaw thông thường vẫn để lại dữ liệu nhạy cảm – và việc thu hồi hoàn toàn quyền truy cập khó hơn nhiều so với tưởng tượng của hầu hết người dùng. Mình phác thảo các bước cụ thể bạn phải thực hiện để xóa sạch dữ liệu của mình.

Cuộc khủng hoảng OpenClaw: Bảo vệ bạn như thế nào

OpenClaw (trước đây là MoltBot, sau đó là ClawdBot) đã trở thành một trong những công cụ mã nguồn mở lan truyền nhanh nhất gần đây. Chỉ trong vài ngày, nó đã bùng nổ từ một dự án mới thành một trợ lý AI cá nhân với hàng trăm nghìn người dùng. Tất cả họ đều đã cấp cho nó quyền truy cập sâu rộng vào đời sống kỹ thuật số của mình.

Phạm vi truy cập đó rất đáng kinh ngạc: OpenClaw có thể đọc và gửi email, quản lý lịch, truy cập các ứng dụng trò chuyện (WhatsApp, Telegram, Slack, Discord), duyệt web thay mặt bạn, đọc/ghi vào hệ thống tệp cục bộ, thực thi lệnh trên máy và tích hợp với hầu hết mọi dịch vụ thông qua API (Stripe, AWS, Google Cloud, GitHub…). Nói tóm lại: OpenClaw nắm giữ chìa khóa toàn bộ vương quốc kỹ thuật số của bạn.

Tuy nhiên, nghiên cứu của OX Security cảnh báo rằng OpenClaw lưu trữ thông tin đăng nhập dưới dạng văn bản thuần túy (cleartext), sử dụng các mẫu mã hóa không an toàn và không có chính sách bảo mật rõ ràng. Trong tuần qua, các lỗ hổng thực thi mã từ xa (RCE), các tiện ích mở rộng giả mạo và các chiến dịch chiếm đoạt tài khoản đã biến OpenClaw thành một cuộc khủng hoảng an ninh thực sự.

Những phát hiện chính của OX Security

Khi kiểm tra các cách mà người dùng thường gỡ OpenClaw, OX Security đã tìm ra:

1. Xóa Key trong giao diện Web UI không đủ.
   Dữ liệu nhạy cảm vẫn còn trong thư mục cục bộ trên máy tính, dù bạn đã xóa khóa API bên trong UI.
2. Uninstall theo cách “Google” (hướng dẫn trên web) đôi khi không xóa hết.
   Nhiều hướng dẫn gỡ định kỳ từ cộng đồng hoặc blog chỉ xóa các tệp thực thi mà không xoá các thư mục chứa dữ liệu.
3. Gỡ trước rồi mới xoá dữ liệu là một cái bẫy.
   Ví dụ, khi bạn chạy npm uninstall -g openclaw, mã nhị phân (binary) bị xoá, nhưng thư mục chứa cấu hình và dữ liệu vẫn còn. Vì vậy sau đó bạn không còn CLI để chạy lệnh gỡ chính xác nữa.
4. Tài liệu chính thức gắn ở GitHub khó tìm.
   Hướng dẫn chính thức thì là chạy câu lệnh openclaw uninstall nhưng hầu hết người dùng lại tìm thấy các hướng dẫn sai từ Reddit/Google.

Chính người tạo ra Moltbot – Peter Steinberger – đã công khai cảnh báo: “Most non-techies should not install this.”

Những việc cần làm ngay bây giờ

Việc dọn dẹp yêu cầu hai lộ trình song song:

1. Xóa OpenClaw và dữ liệu lưu trữ cục bộ khỏi máy tính của bạn.
2. Thu hồi và thay đổi (rotate) thông tin đăng nhập/phiên làm việc trên mọi nền tảng đã kết nối.

PHẦN 1 — GỠ OPENCLAW ĐÚNG CÁCH TRÊN MÁY

Quan trọng: KHÔNG chạy npm uninstall -g openclaw trước.

Nếu làm vậy bạn sẽ mất CLI nhưng dữ liệu vẫn còn nguyên trên máy.

BƯỚC 1: Kiểm tra OpenClaw còn hoạt động không

Mở Terminal (macOS/Linux) hoặc Command Prompt (Windows) và chạy:

openclaw --version

Nếu trả về version → CLI vẫn còn → bạn có thể gỡ đúng cách.
Nếu báo “command not found” → bạn đã gỡ nhầm cách → phải xóa tay dữ liệu (mình hướng dẫn bên dưới).

BƯỚC 2: Gỡ bằng lệnh chính thức (QUAN TRỌNG)

hãy dùng lệnh chính thức::

openclaw uninstall

Lệnh này sẽ:

• Xóa service
• Xóa cấu hình
• Gỡ database nội bộ
• Remove background process

Đợi lệnh chạy xong hoàn toàn.

BƯỚC 3: Kiểm tra và xóa thủ công các thư mục còn sót

OpenClaw có thể lưu dữ liệu tại các thư mục sau:

Trên macOS / Linux

Kiểm tra:

ls -a ~ | grep claw

Hoặc kiểm tra trực tiếp:

ls ~/.clawdbot
ls ~/clawdbot
ls ~/.openclaw

Nếu tồn tại → xóa:

rm -rf ~/.clawdbot
rm -rf ~/clawdbot
rm -rf ~/.openclaw

Trên Windows

Mở Run (Win + R) và kiểm tra:

%USERPROFILE%\.clawdbot
%USERPROFILE%\clawdbot
%USERPROFILE%\.openclaw

Nếu có → xóa toàn bộ thư mục.

Hoặc dùng PowerShell:

Remove-Item -Recurse -Force $env:USERPROFILE\.clawdbot
Remove-Item -Recurse -Force $env:USERPROFILE\clawdbot
Remove-Item -Recurse -Force $env:USERPROFILE\.openclaw

PHẦN 2 — TRƯỜNG HỢP BẠN ĐÃ LỠ CHẠY npm uninstall -g openclaw

Nếu bạn đã lỡ chạy:

npm uninstall -g openclaw

Thì CLI đã bị xóa, nhưng:

• Dữ liệu vẫn còn
• API key vẫn còn
• Token vẫn còn
• OAuth vẫn còn

Bạn phải xóa tay các thư mục ở Bước 3 phía trên.

PHẦN 3 — THU HỒI QUYỀN TRUY CẬP & XOAY API KEY (QUAN TRỌNG NHẤT)

Đây mới là phần quyết định an toàn thật sự.

OpenClaw có thể đã được cấp quyền vào:

• Gmail
• Google Cloud
• GitHub
• AWS
• Slack
• Discord
• Telegram
• WhatsApp
• Stripe
• Local system shell access

Gỡ cài đặt phần mềm trên máy là chưa đủ nếu OpenClaw đã được kết nối với các dịch vụ bên ngoài. Với mỗi nền tảng đã kết nối, bạn nên:

• Đăng xuất khỏi tất cả các thiết bị.
• Xóa các phiên làm việc (sessions) không xác định.
• Thay đổi (Rotate) các khóa API: Đây là bước quan trọng nhất. Hãy tạo khóa mới và vô hiệu hóa khóa cũ cho các dịch vụ như AWS, GitHub, Stripe, v.v.

🔐 Thu hồi quyền

Google Vào: https://myaccount.google.com/permissions

• Tìm OpenClaw
• Remove Access

Sau đó:

• Vào Google Cloud Console
• Xóa API key
• Tạo API key mới

GitHub Vào: Settings → Developer Settings → Personal Access Tokens

• Revoke token cũ
• Tạo token mới

Nếu đã cấp OAuth App: Settings → Applications → Authorized OAuth Apps → Revoke

Thu hồi quyền AWS Vào IAM: Delete Access Keys → Tạo Access Key mới → Rotate Secret Key

Telegram: Telegram → Settings → Devices. Terminate all other sessions

Nếu tạo Bot Token:

• Vào BotFather
• Revoke token
• Generate token mới

WhatsApp: Vào Cài đặt → Thiết bị liên kết → Chọn thiết bị lạ → Đăng xuất.

Slack: Slack → Manage Apps → Remove OpenClaw. Sau đó rotate Bot Token

PHẦN 4 — KIỂM TRA CUỐI CÙNG

Sau khi làm xong:

• Đổi mật khẩu email chính
• Bật 2FA cho mọi tài khoản quan trọng
• Kiểm tra login history
• Kiểm tra billing activity (Stripe / AWS / GCP)

TÓM TẮT NGẮN GỌN

Thứ tự đúng phải là:

1. openclaw uninstall
2. Xóa thư mục .clawdbot / .openclaw
3. Revoke OAuth
4. Rotate API key
5. Đổi mật khẩu + bật 2FA

Kết luận

OpenClaw đang được cài đặt sử dụng nhanh chóng nhưng việc gỡ bỏ nó không hề đơn giản. Nếu bạn tin rằng tài khoản của mình đã bị xâm nhập, hãy thay đổi toàn bộ mật khẩu và khóa API ngay lập tức. Đừng chủ quan khi chỉ mới nhấn nút “Xóa” ứng dụng.

Việc gỡ OpenClaw không đơn giản chỉ là xóa một thư mục hay chạy vài lệnh. Vì công cụ này có thể đã:

• Lưu dữ liệu nhạy cảm trên máy bạn,
• Cấp quyền sâu vào các dịch vụ khác,
• Lưu lại các chứng chỉ API trên nhiều nền tảng.

Bạn cần xoá sạch dữ liệu, thu hồi quyền truy cập và xoay chìa khóa (API tokens) để đảm bảo an toàn kỹ thuật số của mình.