- WAHA là REST API wrapper open-source quanh WhatsApp Web, chạy bằng 1 lệnh Docker, miễn phí cho session đơn, scale tới 500 sessions.
- Đánh đổi: vi phạm ToS WhatsApp, có rủi ro bị khoá số.
- Phù hợp cho internal tool và AI agent — nếu bạn lock được server.
TL;DR
WAHA (WhatsApp HTTP API) là dự án open-source Apache 2.0 — bọc WhatsApp Web/WebSocket thành REST API. Một lệnh Docker là chạy được, không giới hạn số tin nhắn, không phí per-message như Cloud API chính thức. Tagline của họ: "WhatsApp HTTP API mà bạn cài lên server riêng và chạy trong dưới 5 phút". Repo có 6.4k stars, 185 releases, cadence ra version đều mỗi tháng. Đổi lại: vi phạm ToS WhatsApp, ban thật, đặc biệt nếu để hở Docker port hoặc API key mặc định.
WAHA là cái gì?
WAHA dựng một REST/HTTP API đứng trước một instance WhatsApp Web thực sự. Bạn docker run, mở http://localhost:3000, scan QR, rồi POST /api/sendText — gửi tin nhắn từ Python, JS, PHP, C#, Go, kể cả PowerShell. Webhook trả tin nhắn đến cho bạn realtime.
Có 4 engine để chọn cách kết nối với WhatsApp:
- WEBJS — Puppeteer chạy WhatsApp Web headless. Cách "giống người" nhất, ít bị phát hiện.
- WPP — engine mới ra ở 2026.3, cũng browser-based nhưng dùng thư viện
wppconnect; hỗ trợforwardMessagesngay từ ngày đầu. - NOWEB — Node.js WebSocket nói thẳng với server WhatsApp, nhẹ hơn, ít CPU hơn, nhưng dễ bị phát hiện hơn.
- GOWS — viết lại bằng Go cho throughput cao, đang đẩy mạnh trong các release gần đây.
Vì sao đáng test?
Nếu bạn từng định tích hợp WhatsApp vào internal tool / AI agent, có 2 lựa chọn: (1) Cloud API chính thức của Meta — phải verify Facebook Business Manager, dùng template được duyệt sẵn, trả phí per-message cho marketing, có rate limit 250 msg/s, được green-tick. (2) Self-hosted wrapper như WAHA — không template, không phí, không green-tick, không GDPR auto-compliant.
Cho internal tool kiểu Uptime Kuma push alert vào WhatsApp team, hoặc AI agent trả lời nội bộ, lựa chọn 2 cắt được hết phí và overhead pháp lý. Đó là lý do dev community đẩy WAHA — nó deterministic, một command, OpenAPI có sẵn, integrate ChatWoot, n8n, Typebot.
Technical facts
| Hạng mục | Chi tiết |
|---|---|
| License | Apache 2.0 (Core), proprietary (Plus) |
| Setup | 1 lệnh Docker, < 5 phút tới tin nhắn đầu tiên |
| Engines | WEBJS, WPP, NOWEB, GOWS |
| Scale | 1 session (Core) → 500 sessions / 1 container (Plus) |
| SDK | Python, JS/TS, PHP, C#, Go, Java, Kotlin, Clojure |
| Auth | WAHA_API_KEY env, per-session API key (Plus, từ 2026.1) |
| Auto features | Channels, Status, Groups, Calls (reject), Polls |
| Storage | S3 / volume + namespace isolation (WAHA_NAMESPACE, WAHA_SESSION_NAMESPACE) |
| UI | Built-in Dashboard + Swagger / OpenAPI 3.1 |
API surface gọn: POST /api/sessions tạo session, GET /api/screenshot trả QR pairing, POST /api/sendText gửi tin, GET /api/{session}/contacts/{id} (mới ở 2026.3) lấy 1 contact mà không cần list full.
So sánh với Cloud API chính thức & BSP
| Provider | Giá khởi điểm | Rủi ro ban | Cần template duyệt? | Best for |
|---|---|---|---|---|
| WAHA | Free (Core) | Cao (vi phạm ToS) | Không | Internal tool, AI agent, dev SaaS |
| Evolution API | Free | Cao | Không | Như WAHA |
| Twilio | Pay-per-msg | Không | Có | Scale cao, compliance |
| Wati (BSP) | $40/tháng | Không | Có | Retail, e-commerce |
| Interakt (BSP) | $12/tháng | Không | Có | SMB |
| WhatsApp Cloud API | Per-msg fees | Không | Có | Production marketing |
WAHA mở khoá những thứ Cloud API chặn: tự động hoá Channels, Status, Groups, không cần submit template, không bị MM Lite API (Apr 2026) hạn chế marketing theo engagement. Đổi lại bạn không có green-tick, không tự GDPR, không có legal cover của Meta.
Use case thực tế
- Internal IT alerts — Uptime Kuma → WhatsApp gửi cảnh báo downtime cho team. Đây là tutorial chính thức trong docs.
- Customer support bot — tích hợp ChatWoot native, từ 2026.3 đã fix mapping group participant nên reply trong group attribute đúng người gửi.
- AI agent — connect tới Claude/OpenAI, người dùng nhắn → AI trả tự nhiên (typing delay, varied response). Dev community cảnh báo: cần bật rate-limit phía agent để tránh bị WhatsApp cờ là spam bot.
- Low-code automation — n8n có node WAHA chính thức, kéo thả workflow là gửi tin nhắn được. Typebot integration cho visual flow builder.
- SaaS resale — Plus license cho phép 500 session trong 1 container, có thể bán làm dịch vụ con.
Limitations & pricing
Pricing: WAHA Core free vĩnh viễn, không giới hạn message hay thời gian, single session. WAHA Plus có license không hết hạn, mở khoá multi-session, Dashboard, S3 storage, proxy support, per-session API key — review bên thứ 3 ghi nhận khoảng $19/tháng.
Ban risk là thật. Issue #1262 trên GitHub: user kết nối số mới với AI auto-reply, AI thậm chí mô phỏng typing delay tự nhiên. 1.5 giờ sau, số bị ban vĩnh viễn. Khi reconnect được vài giờ sau, account đã bị hijack — gửi tin nhắn fraud lạ. Nguyên nhân: Docker port để hở public + password mặc định không đổi → attacker scan port, lấy session, gửi spam → WhatsApp ban.
Nguyên tắc bắt buộc nếu chạy WAHA thật:
- Đổi
WAHA_API_KEYngay lần đầu. - KHÔNG mở port
3000ra Internet — chỉ127.0.0.1hoặc qua reverse proxy có auth. - Bật per-session API key (Plus, 2026.1) nếu chạy nhiều session.
- Throttle phía agent — đừng gửi 10 tin/giây dù WAHA cho phép.
- Đừng dùng số WhatsApp cá nhân chính. Dùng SIM riêng.
What's next
Cadence release của WAHA đều mỗi tháng. Tóm tắt 5 release gần nhất:
- 2025.12 — Calls app, custom device names, reject call qua API.
- 2026.1 — Per-session API key, GOWS storage toggle.
- 2026.2 — Bugfix pack toàn bộ engine.
- 2026.3 (31/03/2026) — Engine WPP mới, LID/@c.us merge control flag, Storage Namespaces, no-queue Apps (chạy in-memory không cần Redis).
- 2026.4.2 — patch tag mới nhất.
Roadmap nội bộ: dev đang xây whatsapp-rust-bridge — bridge core viết bằng Rust, đã là prereq khi build từ source. Khả năng cao bản 2026.5+ sẽ thay engine NOWEB hiện tại bằng Rust, kéo CPU/memory xuống đáng kể.
Nguồn: waha.devlike.pro, github.com/devlikeapro/waha, WAHA 2026.3 release notes, Apidog Top 10 WhatsApp Business API 2026.
