Thong Dinh Dạo này OpenClaw lại nổi lên lại, chủ yếu nhờ mấy anh đẻ khoá học và PR rầm rộ trên Facebook. Không thể phủ nhận câu chuyện rất mang tính FOMO của nó, người người nhà nhà nói nó có thể thay anh em đặt vé, dọn email, theo dõi giá, thậm chí là trading. Bản thân mình cũng đang chạy AI agent riêng để tự động thu thập và lọc tin tức hàng ngày, nên mình hiểu sức hút của công nghệ này.
Nhưng thật lòng mà nói, con tôm này không ngon như anh em đang tưởng. Ít nhất, theo những gì mình thấy, anh em phải thực sự rành về bảo mật và có nền tảng kỹ thuật cơ bản thì mới dùng nó an toàn được.
Nội dung chính
OpenClaw là gì và nó khác gì với AI khác?
Trước hết, anh em cần hiểu đúng bản chất của công cụ này, vì rất nhiều người đang nhầm lẫn hoặc cố tình làm mờ ranh giới của những con này.
ChatGPT, Gemini, Claude đều là AI có “đầu óc” nhưng không có “tay chân”. Anh em hỏi cách đặt vé máy bay, nó hướng dẫn từng bước. Còn lại là anh em tự bấm.
OpenClaw thì khác. Nó là AI Agent, tức là nó tự mở trình duyệt, tự vào trang web, tự thao tác, tự hoàn thành nhiệm vụ mà không cần anh em ngồi bên cạnh. Anh em ra lệnh “mỗi tiếng kiểm tra giá khách sạn này, nếu xuống dưới 800k thì đặt ngay”, rồi đi ngủ. Nó sẽ tự làm cho chúng ta.
Đó là lý do Jensen Huang gọi OpenClaw là “phần mềm quan trọng nhất từ trước đến nay”. Đó cũng là lý do gần 1,000 người xếp hàng trước trụ sở Tencent ở Thâm Quyến để được hỗ trợ cài đặt, bao gồm cả kỹ sư hàng không vũ trụ đã nghỉ hưu lẫn nội trợ.
Về mặt kỹ thuật, OpenClaw hoạt động như lớp điều phối nằm giữa người dùng và các mô hình AI mạnh như Claude hay GPT. Nó nhận lệnh từ người dùng, phân rã thành các tác vụ nhỏ hơn, rồi giao cho các sub-agent thực thi theo thứ tự.
Khi một agent gặp lỗi, hệ thống tự chuyển sang fallback agent khác mà không cần can thiệp. Workflow giữa các agent này tính ra khá ấn tượng, nếu ta nhìn vào cách nó vận hành, đặc biệt là khả năng tự động fix lỗi và tự config lại hệ thống để tối ưu.
Nuôi tôm, bị tôm ăn
Người Trung Quốc gọi việc cài OpenClaw là “nuôi tôm hùm”, phỏng theo chữ Claw trong tên gốc. Phong trào lan nhanh đến mức các buổi hỗ trợ cài đặt được tổ chức liên tục tại các thành phố lớn. Thậm chí, ByteDance và Alibaba đua nhau tung giải pháp chạy OpenClaw trên đám mây, chính quyền địa phương tài trợ các buổi đào tạo để phổ cập kỹ năng AI cho người lao động.
Nhưng chỉ vài ngày sau, cơn sốt bắt đầu đảo chiều. Trên Xianyu, sàn giao dịch đồ cũ của Alibaba, từ khóa “gỡ cài đặt OpenClaw” trở thành xu hướng tìm kiếm từ ngày 13/3. Có người rao dịch vụ gỡ với giá 299 nhân dân tệ (khoảng 1 triệu 2 VND), thu hút hàng chục giao dịch chỉ trong vài ngày. Vòng xoay kinh doanh hình thành chóng mặt, cài hết 599 tệ, gỡ mất thêm 299 tệ.
Lý do không phải vì OpenClaw dở. Lý do là để làm được những gì người ta hứa hẹn, OpenClaw cần quyền truy cập rất sâu vào thiết bị. Và khi một công cụ có quyền đọc email, điều khiển trình duyệt, truy cập file hệ thống thì tất nhiên ta sẽ gặp rủi ro bảo mật.
Công ty an ninh mạng 360 Security Technology ghi nhận hơn 40% trong số 150,000 tài sản kỹ thuật số liên quan đến OpenClaw bị phơi bày trên toàn cầu nằm ở Trung Quốc. CNCERT, trung tâm ứng phó khẩn cấp mạng quốc gia Trung Quốc, chính thức cảnh báo ngày 10/3. Bộ Công nghiệp và Công nghệ Thông tin cảnh báo cùng ngày. Nhiều trường đại học ban lệnh cấm cài đặt trên thiết bị và mạng nội bộ.
Tất nhiên, không chỉ dân thường mới gặp những vấn đề này.
Mình có đọc được tin Summer Yue, Giám đốc an toàn AI của Meta, thử dùng OpenClaw để dọn hộp thư email. Cô đặt điều kiện rõ ràng là phải xác nhận trước khi xóa bất kỳ thư nào. Nhưng khi khối lượng email quá lớn, AI bắt đầu tự động xóa hàng loạt mà không hỏi. Cô dùng điện thoại ra lệnh dừng nhưng AI lại phớt lờ. Cô buộc phải chạy về máy tính để ngắt kết nối trực tiếp.
Nguyên nhân kỹ thuật nằm ở một hiện tượng gọi là “context compression”. Khi chuỗi tác vụ quá dài, model sẽ nén lại lịch sử ngữ cảnh để tiết kiệm token và trong quá trình đó, những chỉ dẫn quan trọng như “không hành động khi chưa có xác nhận” có thể bị đẩy ra ngoài cửa sổ context và mất hiệu lực.
Nothing humbles you like telling your OpenClaw “confirm before acting” and watching it speedrun deleting your inbox. I couldn’t stop it from my phone. I had to RUN to my Mac mini like I was defusing a bomb. pic.twitter.com/XAxyRwPJ5R
— Summer Yue (@summeryue0) February 23, 2026
Đây không phải lỗi của riêng OpenClaw mà là vấn đề cơ bản của toàn bộ kiến trúc LLM-based agent hiện tại. Khi agent chạy đủ lâu và xử lý đủ nhiều dữ liệu, các ràng buộc ban đầu anh em đặt ra có thể bị “quên” một phần hoặc hoàn toàn. Và không có cơ chế nào đảm bảo 100% rằng điều đó sẽ không xảy ra với anh em.
Ngoài ra, một số model còn có vấn đề khác như tự tạo tình huống giả và báo cáo thành công khi thực ra chưa làm gì. Gemini 2.5 Preview là ví dụ điển hình, nó có thể giả lập toàn bộ một hệ thống không tồn tại, báo cáo hoàn thành tác vụ trong khi thực tế không có gì được thực thi cả.
OpenClaw làm gì và chưa làm gì?
Sau khi bỏ thời gian thực sự ngồi test, kể cả đào sâu vào chỉnh sửa mã nguồn, đây là những nhận định của mình
Điểm mạnh thực sự của OpenClaw nằm ở ba chỗ: chatbot hoạt động khá ổn, hệ thống skill được xây dựng tốt và memory, tức khả năng ghi nhớ ngữ cảnh giữa các phiên, hoạt động đáng tin cậy hơn nhiều so với kỳ vọng. Đây là nền tảng đủ tốt để xây các workflow đơn giản.
Nhưng ngoài ba thứ đó ra, hầu hết các phần còn lại đều chưa thuyết phục.
Về khả năng code, OpenClaw thua khá xa so với các nền tảng hỗ trợ lập trình chuyên biệt hiện nay. Phần Agent Web, thứ nhiều người kỳ vọng nhất, thậm chí còn yếu hơn Antigravity, một công cụ ít được nhắc đến hơn nhiều. Anti-detect browser cũng thuộc hàng yếu so với mặt bằng chung. Với những ai cần agent thao tác trên trình duyệt một cách ổn định và không bị phát hiện, đây là điểm trừ nghiêm trọng.
Về tích hợp hệ sinh thái, thực tế khá “phèn” so với quảng cáo. Kết nối với Telegram và các dịch vụ bên ngoài chưa ổn định. Workflow automation không linh hoạt bằng n8n, một công cụ open-source có thể tự host và đã được kiểm chứng trong môi trường production thực tế.
Nếu anh em đang cần một công cụ tự động hóa workflow nghiêm túc, n8n vẫn là lựa chọn đáng tin hơn ở thời điểm này.
Multi-agent là phần nghe hay nhất trên paper nhưng lại gây thất vọng nhất trong thực tế. Khi một tác vụ đơn còn chưa chạy ổn định, việc chia nhỏ nó thành nhiều agent chạy song song không làm tình hình tốt hơn mà chỉ nhân thêm điểm thất bại và đốt token nhanh hơn. Trong nhiều trường hợp, tự build một agent riêng cho từng tác vụ cụ thể bằng MCP API còn hiệu quả hơn, vừa tối ưu được workflow vừa tiết kiệm token đáng kể.
Hai thứ thực sự đáng kỳ vọng nhưng hiện tại vẫn chưa có: agent chủ động nhắn tin mà không cần người dùng trigger trước, và khả năng self-reflection, tức agent tự đặt câu hỏi và tự suy luận lại về kết quả của mình trước khi báo cáo. Đây là hai tính năng sẽ thực sự nâng cấp độ tự chủ của agent lên một bậc khác, nhưng OpenClaw chưa có.
Một điểm đáng theo dõi là OpenClaw đang phát triển OpenClaw-RL, một hướng huấn luyện agent thông qua reinforcement learning. Nếu triển khai được tốt, đây có thể là thứ thay đổi đáng kể chất lượng thực tế của agent so với hiện tại. Nhưng đó là câu chuyện của tương lai.
Còn hiện tại, nếu anh em muốn build agent để thu thập và lọc thông tin như mình đang làm, lời khuyên thực tế hơn là đừng dùng OpenClaw như một nền tảng all-in-one. Thay vào đó, dùng OpenClaw cho phần chatbot và skill nếu cần, còn phần tích hợp và automation thì kết hợp với các công cụ chuyên biệt như n8n cho workflow, Telethon hoặc Pyrogram cho Telegram, và tự gọi API của model trực tiếp cho các tác vụ xử lý dữ liệu. Kiến trúc này phức tạp hơn một chút nhưng ổn định và tiết kiệm token hơn nhiều so với để OpenClaw tự xử lý tất cả.
Các vấn đề liên quan đến chi phí
OpenClaw bản thân là phần mềm mã nguồn mở, cài miễn phí. Nhưng nó chỉ là “tay chân”, không có não. Muốn nó hoạt động, anh em cần kết nối với mô hình AI thực sự như Claude, GPT-4o, Grok hoặc Gemini. các mô hình này tính phí theo lượng token tiêu thụ mỗi lần agent thực hiện tác vụ.
Nếu tác vụ phức tạp, ta không thể nào chỉ gọi AI một lần. Nó phải gọi đi gọi lại hàng chục lần trong quá trình phân tích, lập kế hoạch, thực thi và kiểm tra kết quả. Nếu để OpenClaw chạy ngầm kiểm tra giá khách sạn mỗi tiếng, mỗi lần kiểm tra đó đều tốn token. Tích lũy lại trong một ngày, một tuần, con số không còn nhỏ.
Chọn model nào cũng là bài toán đau đầu. Model rẻ thì hay bịa đặt hoặc làm sai. Model đắt như Claude Opus 4.6 thì đáng tin hơn đáng kể nhưng chi phí cũng cao hơn nhiều. Nếu không cẩn thận trong việc giới hạn số lần gọi API và loại tác vụ được phép chạy tự động, hóa đơn cuối tháng có thể lên tới con số hàng ngàn.
Bảng giá API các AI model phổ biến tháng 3/2026
Dưới đây là bảng tổng hợp giá API theo token từ nguồn chính thức cho 8 model AI thường dùng với AI Agent. Mức giá dao động rất lớn – từ $0.15/MTok (GPT-4o mini input) đến $25/MTok (Claude Opus 4.6 output), tạo ra biên độ chi phí hơn 160 lần giữa model rẻ nhất và đắt nhất. DeepSeek V3 nổi bật với mức giá thấp nhất trong toàn bộ bảng, trong khi đó, Claude Opus 4.6 dẫn đầu về chi phí nhưng cũng là model mạnh nhất.
| Model | Provider | Input ($/1M tokens) | Output ($/1M tokens) | Ghi chú |
|---|---|---|---|---|
| Claude Opus 4.6 | Anthropic | $5.00 | $25.00 | Flagship, 1M context |
| Claude Sonnet 4.6 | Anthropic | $3.00 | $15.00 | Balanced, 1M context |
| Claude Haiku 4.5 | Anthropic | $1.00 | $5.00 | Fast & cheap |
| GPT-4o | OpenAI | $2.50 | $10.00 | Legacy, vẫn phổ biến |
| GPT-4o mini | OpenAI | $0.15 | $0.60 | Cực rẻ |
| Gemini 2.5 Pro | $1.25 | $10.00 | ≤200K tokens* | |
| Gemini 2.5 Flash | $0.30 | $2.50 | Flat pricing mọi context | |
| DeepSeek V3 (V3.2) | DeepSeek | $0.28 | $0.42 | Cache miss; rẻ nhất |
*Gemini 2.5 Pro tăng giá khi context >200K: input $2.50, output $15.00/MTok.
Về hạ tầng, mua Mac Mini về để dành riêng cho OpenClaw là FOMO thuần túy. Chạy trên VPS là đủ và linh hoạt hơn nhiều. Nhưng ngay cả con đường VPS cũng không bằng phẳng vì Railway có giới hạn tùy chỉnh khiến nhiều cấu hình không thực hiện được, Hetzner có thể chặn tùy location, Vultr hiện là lựa chọn tương đối ổn với nhiều location để chọn. Tìm được provider phù hợp thường mất vài lần thử sai trước khi ổn định.
Nếu muốn thực sự build?
Mình không phủ nhận OpenClaw hay AI Agent nói chung là công cụ mạnh và đáng để đầu tư thời gian học. Nhưng có một điều kiện tiên quyết mà hầu hết các bài hướng dẫn “nuôi tôm” đang bỏ qua là anh em buộc phải có nền tảng cơ bản về code và câu lệnh để thực sự kiểm soát được những gì bot đang làm.
Lý do không phải vì OpenClaw quá khó, mà vì khi agent làm sai, anh em cần biết tại sao và sửa ở đâu. Không có kiến thức đó, anh em chỉ có thể nhìn bot chạy và hy vọng nó không xóa hay leak nhầm thứ quan trọng.
Một số thứ cần nắm trước khi bắt đầu:
- Về kỹ thuật cơ bản: Biết đọc và chỉnh sửa file cấu hình JSON hoặc YAML, hiểu cách environment variable hoạt động, biết dùng terminal đủ để SSH vào VPS và chạy lệnh cơ bản. Không cần biết lập trình sâu, nhưng cần không bị bối rối khi nhìn vào một file config.
- Về thiết kế workflow: Trước khi để agent chạy tự động, viết ra đúng một câu mô tả điều kiện dừng. Không phải “dừng khi xong” mà là điều kiện cụ thể và có thể kiểm chứng được. Nếu anh em không viết được câu đó một cách rõ ràng, agent cũng sẽ không hiểu được.
- Về giới hạn chi phí: Trước khi chạy bất kỳ tác vụ tự động nào, đặt hard limit trên dashboard của provider API. Anthropic, OpenAI và hầu hết provider đều có tính năng này. Đặt ngưỡng cảnh báo ở mức thấp trước, quan sát một tuần, rồi mới điều chỉnh lên.
- Về quyền truy cập: Chỉ cấp cho agent quyền tối thiểu cần thiết cho từng tác vụ cụ thể. Nếu agent chỉ cần đọc email để phân loại, đừng cấp quyền xóa. Nguyên tắc least privilege trong bảo mật hệ thống áp dụng hoàn toàn vào đây.
- Về kiểm tra kết quả: Trong ít nhất hai tuần đầu, xem lại log của mỗi tác vụ quan trọng. Không tin vào báo cáo thành công của agent cho đến khi anh em tự xác nhận đầu ra đúng với kỳ vọng.
Kết
Một lần nữa, mình xin nhắc lại, mình không phủ nhận tầm xịn xò của Openclaw và AI Agent nói riêng. Vụ người dùng ở Trung Quốc vừa xếp hàng cài rồi lại xếp hàng gỡ không phải vì OpenClaw dở. Họ chỉ bị cuốn vào cơn sốt trước khi hiểu rõ mình đang cài thứ gì vào máy, nó cần quyền gì để hoạt động, và cần gì để vận hành nó đúng cách.
AI Agent là công nghệ thật, tiềm năng thật. Nhưng giữa “thật” và “sẵn sàng để giao phó toàn bộ công việc quan trọng” vẫn còn một khoảng cách khá lớn. Khoảng cách đó không thể rút ngắn bằng FOMO, chỉ rút ngắn được bằng cách hiểu đủ kỹ trước khi bắt đầu.
Tổng hợp từ South China Morning Post, Bloomberg, Tom’s Hardware và trải nghiệm thực tế từ bản thân mình. Không cấu thành khuyến nghị sử dụng công nghệ.
Một số bài viết khác:
- 10 tin nóng crypto châu Á tuần này: Pharos được định giá gần 1 tỷ USD, Metaplanet rót 4 tỷ yên vào hạ tầng Bitcoin tại Nhật
- Tuần thứ 2 sau chiến sự Mỹ-Iran: Thị trường tích cực hay bị quan? Nên mong chờ gì ở tuần kế tiếp?
- ETF ETH Staking của BlackRock chính thức ra mắt: Ethereum có thể tăng trong năm 2026?
