Apakah "udang karapian kecil" Anda sedang berlari telanjang? Pengujian nyata CertiK: Bagaimana OpenClaw Skill yang penuh celah dapat menipu audit dan mengambil alih komputer tanpa wewenang

Baru-baru ini, platform AI cerdas open-source yang dikelola sendiri, OpenClaw (dikenal dalam komunitas sebagai “Udang Laut”), dengan cepat menjadi populer berkat fleksibilitas skalabilitasnya dan fitur penyebaran yang dapat dikontrol secara mandiri, serta menjadi produk fenomenal di jalur AI cerdas pribadi. Inti ekosistemnya, Clawhub, sebagai pasar aplikasi, mengumpulkan sejumlah besar plugin Skill pihak ketiga, yang memungkinkan agen cerdas membuka kemampuan tingkat tinggi secara satu klik, mulai dari pencarian web, pembuatan konten, hingga operasi dompet kripto, interaksi di blockchain, otomatisasi sistem, dan lain-lain. Skala ekosistem dan jumlah pengguna pun mengalami pertumbuhan eksponensial.

Namun, untuk Skill pihak ketiga yang berjalan dalam lingkungan dengan hak akses tinggi seperti ini, di mana batas keamanan platform yang sebenarnya?

Baru-baru ini, CertiK, perusahaan keamanan Web3 terbesar di dunia, merilis penelitian terbaru tentang keamanan Skill. Dalam laporan tersebut, disebutkan bahwa saat ini terdapat kesalahan persepsi di pasar mengenai batas keamanan ekosistem AI cerdas: industri secara umum menganggap “pemindaian Skill” sebagai garis pertahanan utama keamanan, padahal mekanisme ini hampir tidak berguna menghadapi serangan hacker.

Jika OpenClaw diibaratkan sebagai sistem operasi perangkat cerdas, maka Skill adalah berbagai aplikasi yang terpasang di dalamnya. Berbeda dari aplikasi konsumen biasa, beberapa Skill di OpenClaw berjalan dalam lingkungan dengan hak akses tinggi, yang dapat langsung mengakses file lokal, memanggil alat sistem, menghubungkan layanan eksternal, mengeksekusi perintah di lingkungan host, bahkan mengelola aset digital terenkripsi pengguna. Jika terjadi masalah keamanan, konsekuensinya bisa berupa bocornya informasi sensitif, perangkat diretas dari jarak jauh, pencurian aset digital, dan akibat serius lainnya.

Saat ini, solusi keamanan umum untuk Skill pihak ketiga di seluruh industri adalah “pemindaian dan peninjauan sebelum dipublikasikan”. Clawhub dari OpenClaw juga membangun sistem perlindungan tiga lapis: menggabungkan pemindaian kode VirusTotal, mesin deteksi kode statis, dan deteksi konsistensi logika AI, serta mengirimkan notifikasi keamanan kepada pengguna berdasarkan tingkat risiko, berusaha menjaga keamanan ekosistem. Namun, penelitian dan pengujian serangan yang dilakukan CertiK membuktikan bahwa sistem deteksi ini memiliki kelemahan dalam pertempuran nyata, dan tidak mampu menjalankan fungsi utama sebagai pelindung keamanan.

Penelitian ini pertama-tama menguraikan keterbatasan alami dari mekanisme deteksi yang ada:

Aturan deteksi statis sangat mudah dilampaui. Mesin ini bergantung pada pencocokan fitur kode untuk mengidentifikasi risiko, misalnya menganggap kombinasi “membaca informasi sensitif lingkungan + mengirim permintaan jaringan keluar” sebagai perilaku berisiko tinggi. Tapi penyerang cukup melakukan sedikit modifikasi sintaksis pada kode, sambil tetap mempertahankan logika berbahaya, sehingga dapat dengan mudah mengelak dari pencocokan fitur—seperti memberi pernyataan sinonim pada konten berbahaya, membuat alat pemeriksa keamanan menjadi tidak efektif sama sekali.

Deteksi AI memiliki celah bawaan. Inti dari proses peninjauan AI di Clawhub adalah “detektor konsistensi logika”, yang hanya mampu menemukan kode berbahaya yang secara jelas menyatakan fungsi yang tidak sesuai dengan perilaku aktualnya, tetapi tidak mampu mendeteksi celah yang tersembunyi di dalam logika bisnis normal, seperti sulitnya menemukan jebakan mematikan yang tersembunyi di dalam kontrak yang tampaknya sesuai aturan.

Lebih berbahaya lagi, proses peninjauan memiliki cacat desain dasar: bahkan jika hasil pemindaian VirusTotal masih dalam status “menunggu”, Skill yang belum menjalani seluruh proses “pemeriksaan lengkap” tetap bisa langsung dipublikasikan dan diakses secara terbuka. Pengguna dapat menginstalnya tanpa peringatan, meninggalkan peluang bagi penyerang.

Untuk menguji bahaya risiko ini secara nyata, tim CertiK melakukan pengujian lengkap. Mereka mengembangkan sebuah Skill bernama “test-web-searcher”, yang secara tampak adalah alat pencarian web yang sepenuhnya sesuai aturan, dengan logika kode yang mengikuti standar pengembangan umum, tetapi sebenarnya menyisipkan celah eksekusi kode jarak jauh di dalam alur fungsi normalnya.

Skill ini mampu melewati deteksi mesin statis dan peninjauan AI, dan saat pemindaian VirusTotal masih dalam status “menunggu”, Skill ini dapat diinstal secara normal tanpa peringatan keamanan. Akhirnya, dengan mengirimkan perintah jarak jauh melalui Telegram, celah tersebut berhasil dieksploitasi, dan di perangkat host, eksekusi perintah sembarang pun berhasil dilakukan (dalam demonstrasi, langsung muncul kalkulator di layar).

Dalam penelitiannya, CertiK secara tegas menyatakan bahwa masalah ini bukanlah bug produk eksklusif OpenClaw, melainkan kesalahan persepsi umum di seluruh industri AI cerdas: industri secara umum menganggap “peninjauan dan pemindaian” sebagai garis pertahanan utama keamanan, tetapi mengabaikan fondasi keamanan yang sebenarnya, yaitu isolasi paksa saat runtime dan pengelolaan hak akses yang cermat. Ini mirip dengan inti keamanan ekosistem iOS Apple, yang bukanlah ketatnya proses peninjauan App Store, melainkan mekanisme sandbox yang dipaksakan sistem dan pengelolaan hak akses yang rinci, sehingga setiap aplikasi hanya dapat berjalan dalam “kapsul isolasi” khusus dan tidak bisa sembarangan mengakses hak sistem. Sedangkan sandbox di OpenClaw saat ini bersifat opsional dan bergantung pada konfigurasi manual pengguna; mayoritas pengguna, demi memastikan fungsi Skill tetap berjalan, memilih untuk menonaktifkan sandbox, sehingga agen cerdas berada dalam kondisi “telanjang”. Jika mereka menginstal Skill yang mengandung celah atau kode berbahaya, konsekuensinya bisa sangat fatal.

Sebagai tanggapan terhadap temuan ini, CertiK juga memberikan panduan keamanan:

● Bagi pengembang AI cerdas seperti OpenClaw, harus menjadikan isolasi sandbox sebagai konfigurasi wajib default untuk Skill pihak ketiga, serta memperketat model pengelolaan hak akses Skill, dan sama sekali tidak membiarkan kode pihak ketiga mewarisi hak akses tinggi dari host secara default.

● Bagi pengguna umum, Skill yang diberi label “aman” di pasar hanya menunjukkan bahwa risiko belum terdeteksi, bukan berarti benar-benar aman. Sebelum mekanisme isolasi ketat dasar diaktifkan secara default oleh platform, disarankan untuk menginstal OpenClaw di perangkat tidak penting atau mesin virtual yang tidak digunakan secara aktif, dan jangan biarkan ia mengakses file sensitif, kredensial, atau aset kripto bernilai tinggi.

Saat ini, jalur AI cerdas sedang berada di ambang ledakan, dan kecepatan ekspansi ekosistem tidak boleh mengalahkan langkah-langkah keamanan. Pemindaian dan peninjauan hanya mampu mencegah serangan berbahaya tingkat dasar, tetapi tidak akan pernah menjadi garis pertahanan utama keamanan agen dengan hak akses tinggi. Hanya dengan beralih dari “pencarian deteksi sempurna” ke “pengendalian kerusakan risiko yang ada secara default”, dan secara paksa menetapkan batas isolasi saat runtime, kita dapat benar-benar menjaga garis pertahanan keamanan AI cerdas, dan memastikan bahwa revolusi teknologi ini berjalan stabil dan berkelanjutan.