Giao thức nhắn tin Matrix đang phải vật lộn với những thách thức bảo mật đáng kể trên nhiều mặt trận. Trong khi các nhà phát triển chuẩn bị cho một bản phát hành bảo mật phối hợp để giải quyết các lỗ hổng giao thức nghiêm trọng, cộng đồng vẫn tiếp tục đấu tranh với các vấn đề spam dai dẳng đã khiến nhiều người dùng rời bỏ nền tảng này.
Các lỗ hổng giao thức nghiêm trọng cần được xử lý ngay lập tức
Các nhà phát triển Matrix đã xác định được hai lỗ hổng mức độ nghiêm trọng cao trong thuật toán giải quyết trạng thái của giao thức, thúc đẩy một bản phát hành bảo mật phối hợp chưa từng có trên tất cả các triển khai máy chủ được lên lịch vào ngày 22 tháng 7 năm 2025. Những lỗ hổng này ảnh hưởng đến cách Matrix xử lý việc đặt lại trạng thái - những tình huống mà thuật toán giải quyết trạng thái của giao thức tạo ra kết quả không mong muốn. Các bản sửa lỗi sẽ giới thiệu một phiên bản phòng mới (v12) và yêu cầu nâng cấp phòng cho các không gian hiện có, đánh dấu lần nâng cấp giao thức phối hợp đầu tiên kể từ Matrix 1.0 vào năm 2019.
Các bản vá bảo mật liên quan đến những thay đổi đáng kể trong cách xử lý người tạo phòng, cấp cho họ quyền lực vô hạn đối với người dùng khác. Các nhà phát triển ứng dụng khách phải cập nhật ứng dụng của họ để nhận diện người tạo phòng thông qua trường người gửi của các sự kiện tạo phòng thay vì danh sách mức quyền lực truyền thống.
Lịch trình phát hành bảo mật:
- 22 tháng 7 năm 2025 lúc 17:00 UTC: Phát hành bảo mật phối hợp trên tất cả các triển khai máy chủ Matrix
- 25 tháng 7 năm 2025 lúc 17:00 UTC: Công bố công khai chi tiết lỗ hổng và MSCs
- Phiên bản spec Matrix 1.16 mới với room version 12 được yêu cầu
Chiến dịch spam CSAM khiến người dùng rời bỏ
Ngoài các lỗ hổng giao thức, Matrix còn đối mặt với một cuộc khủng hoảng cấp bách hơn với các chiến dịch spam rộng rãi liên quan đến nội dung bất hợp pháp. Nhiều người dùng báo cáo gặp phải spam dai dẳng trong các phòng công cộng trên matrix.org, với những kẻ tấn công khai thác tính chất phân tán của Matrix để trốn tránh lệnh cấm bằng cách kết nối thông qua các máy chủ khác nhau. Vấn đề đã trở nên nghiêm trọng đến mức một số thành viên cộng đồng đã phần lớn từ bỏ nền tảng này.
Chỉ muốn thông báo rằng tôi hầu như đã bỏ sử dụng Matrix ngoại trừ một vài máy chủ theo chủ đề cụ thể và được kiểm duyệt chặt chẽ. Tại sao? Máy chủ trò chuyện chính matrix.org có 'vấn đề' với khiêu dâm trẻ em/CSAM.
Vấn đề spam làm nổi bật một thách thức cơ bản với các hệ thống liên bang - cân bằng giữa tính mở và bảo mật. Trong khi Matrix đã triển khai các máy chủ chính sách để giúp chống lại lạm dụng, giải pháp này một phần làm suy yếu bản chất phi tập trung vốn ban đầu phân biệt Matrix với các nền tảng nhắn tin khác.
Cộng đồng tìm kiếm các giải pháp thay thế và cách khắc phục
Những người dùng thất vọng đang khám phá các giải pháp khác nhau để tiếp tục sử dụng Matrix một cách an toàn. Nhiều người khuyến nghị hoàn toàn tránh các phòng công cộng matrix.org, tắt tính năng tải trước hình ảnh và tập trung vào các máy chủ riêng với những liên hệ đáng tin cậy. Các triển khai máy chủ thay thế như Conduit cung cấp các tùy chọn nhẹ hơn, với một số người dùng thành công trong việc chạy các phiên bản trên phần cứng tối thiểu.
Cộng đồng cũng đã nêu lên mối quan ngại về cách tiếp cận phát triển của Matrix và khả năng phản hồi với phản hồi của người dùng. Một số người dùng báo cáo cảm thấy bị bỏ qua khi nêu lên những mối quan ngại chính đáng về các vấn đề hiệu suất và bảo mật, tạo ra căng thẳng giữa nhóm phát triển và cơ sở người dùng.
Các Máy Chủ Matrix Thay Thế:
- Conduit: Triển khai nhẹ bằng Rust, chạy trên VPS 128MB
- Dendrite: Phiên bản viết lại chính thức bằng Golang (được cấp phép AGPL bởi Element)
- Synapse: Triển khai Python gốc (tốn nhiều tài nguyên)
Các thách thức kỹ thuật gia tăng
Ngoài các vấn đề bảo mật và spam, người dùng báo cáo các vấn đề kỹ thuật đang diễn ra bao gồm hệ thống thông báo bị hỏng trên ứng dụng khách di động, lỗi trạng thái mã hóa và các vấn đề hiệu suất trong các phòng công cộng lớn. Ứng dụng khách Element X, mặc dù đã được phát hành chính thức, được các thành viên cộng đồng coi là chưa sẵn sàng cho việc sử dụng thực tế.
Những vấn đề tích lũy này đã khiến một số người dùng xem xét lại các gi대안 đơn giản hơn như IRC, bất chấp những hạn chế của nó. Sự phức tạp của giao thức Matrix và các thách thức triển khai đã tạo ra tình huống mà nền tảng này đấu tranh để thực hiện những lời hứa về nhắn tin liên bang đáng tin cậy.
Bản phát hành bảo mật sắp tới đại diện cho một bài kiểm tra quan trọng đối với khả năng của Matrix trong việc phối hợp các thay đổi phức tạp trên hệ sinh thái của mình trong khi giải quyết các vấn đề tin cậy và khả năng sử dụng rộng lớn hơn tiếp tục gây khó khăn cho nền tảng.
Tham khảo: Pre-disclosure: Upcoming coordinated security fix for all Matrix server implementations