Bagaimana menjaga garis dasar keamanan di tengah tren "budidaya lobster"?

“Belakangan ini di kantor, separuh orang sedang membicarakan ‘memelihara lobster’, separuh lainnya sedang belajar cara ‘memelihara lobster’.” Pada 13 Maret, Li Yao, manajer produk dari sebuah perusahaan internet di Beijing, mengatakan kepada wartawan bahwa diskusi rekan kerjanya tentang ‘memelihara lobster’ bukan tentang budidaya perairan nyata, melainkan tentang pelatihan dan penerapan kerangka kerja AI open-source yang baru dirilis, OpenClaw, secara personal.

Karena ikon tersebut adalah seekor lobster merah, OpenClaw disebut sebagai “lobster” oleh banyak orang. Berbeda dengan AI biasa, ia mampu secara mandiri menjalankan tugas-tugas kompleks seperti pengelolaan file, pengiriman dan penerimaan email, serta pengolahan data dengan mengintegrasikan dan memanggil perangkat lunak komunikasi dan model bahasa besar.

Mengapa ‘lobster’ ini bisa memicu gelombang besar di seluruh masyarakat? Apa saja risiko keamanan dari ‘memelihara lobster’? Wartawan dari Gongren Ribao melakukan penyelidikan dan wawancara terkait hal ini.

Banyak daerah mengeluarkan kebijakan dukungan terkait ‘lobster’

Sebagai AI yang paling menarik perhatian masyarakat tahun ini, apa sebenarnya keistimewaan ‘lobster’?

“Model AI biasa bersifat dialogis, setelah pengguna mengajukan pertanyaan, mereka hanya bisa mendapatkan jawaban atau langkah-langkah operasional. Sedangkan ‘lobster’ adalah tipe ‘pelaku aksi’. Pengguna cukup menyampaikan tujuan tugas, ia bisa langsung mengoperasikan berbagai alat untuk menyelesaikan seluruh proses,” contoh seorang blogger teknologi yang pernah bekerja di perusahaan internet besar, ‘Ikuti A-Liang Belajar AI’. Ia memberi contoh, jika diminta mengatur email penting, ‘lobster’ akan otomatis membuka email, menyaring isi, dan menyusun draf balasan, “tanpa perlu intervensi pengguna sama sekali.”

Yu Jingwen, insinyur AI dari Laboratorium Kreativitas Digital AI di Universitas Peking, mengatakan: “Berbeda dengan model bahasa besar seperti ChatGPT, OpenClaw bukan sekadar chatbot, melainkan ‘pegawai digital’ yang mampu memperoleh hak akses ke sistem operasi lokal, memanggil berbagai alat, serta merencanakan langkah-langkah dan otomatis menjalankan tugas kompleks berdasarkan instruksi bahasa alami.”

“Model AI besar sebelumnya, meskipun teknologinya sudah matang, tetap terbatas pada bidang tertentu dan tidak mampu melakukan kolaborasi lintas bidang. Keunggulan utama ‘lobster’ adalah mampu membuka hambatan model besar di berbagai bidang, benar-benar mengaktifkan fungsi dan nilai dari semua model besar,” jelas Yu Jingwen. “Oleh karena itu, dapat dikatakan bahwa OpenClaw adalah inovasi disruptif yang bersifat jembatan dan pengikat dalam industri AI.”

Di tengah gelombang ini, banyak daerah merespons secara aktif. Berdasarkan data tidak lengkap, hingga 12 Maret, beberapa daerah seperti Longgang di Shenzhen, Kawasan Pengembangan Tinggi Wuxi, Kawasan Pengembangan Tinggi Hefei, Suzhou Changshu, Nanjing Qixia, dan Hangzhou Xiaoshan mengeluarkan kebijakan dukungan terkait ‘lobster’. Beberapa pemerintah daerah juga meluncurkan layanan distribusi ‘lobster’ gratis untuk masyarakat umum.

‘Lobster’ menyimpan berbagai risiko keamanan tersembunyi

Di balik antusiasme masyarakat dalam ‘memelihara lobster’, pengalaman awal para pengguna tidak semuanya positif.

“Secara keseluruhan, rasanya tidak seajaib yang dipromosikan di internet,” ungkap Li Yao. Ia mengatakan, untuk memanfaatkan ‘lobster’ dengan baik, harus membuka kontrol berbagai aplikasi di komputer, dan karena berhati-hati, ia tidak memberikan izin terlalu banyak, sehingga merasa “hasilnya terbatas.”

Yu Jingwen menganalisis, kemampuan utama OpenClaw adalah mengoperasikan dan mengendalikan berbagai aplikasi dan alat. Untuk mewujudkan fungsi ini, pengguna harus memberikan izin aplikasi secara luas, termasuk email, perangkat lunak kantor, dan backend berbagai platform. “Ini seperti ingin meminta seseorang membersihkan rumah, harus menyerahkan kunci semua kamar,” katanya. Ia menambahkan, pemberian izin aplikasi secara penuh dapat menimbulkan risiko kebocoran data bagi individu maupun perusahaan.

Pada 10 Maret, Pusat Respon Darurat Internet Nasional merilis Peringatan Risiko Keamanan Penggunaan OpenClaw (selanjutnya disebut Peringatan), yang menyatakan bahwa untuk mencapai kemampuan ‘melaksanakan tugas secara mandiri’, aplikasi ini diberikan hak sistem yang cukup tinggi. Namun, karena konfigurasi keamanannya sangat rapuh secara default, jika ditemukan celah, penyerang dapat dengan mudah mengendalikan sistem sepenuhnya.

Peringatan menunjukkan bahwa hingga saat ini, OpenClaw telah mengungkapkan beberapa celah keamanan tingkat tinggi dan kritis. Jika celah ini disalahgunakan oleh pelaku serangan siber, dapat menyebabkan pengendalian sistem, kebocoran data pribadi dan data sensitif yang serius. “Bagi pengguna pribadi, ini bisa menyebabkan kebocoran data privasi seperti foto, dokumen, riwayat obrolan, serta data akun pembayaran; bagi perusahaan, bisa menyebabkan kebocoran data bisnis inti dan rahasia dagang, menimbulkan kerugian yang tak terukur,” analisis Yu Jingwen.

Pengacara dari Kantor Pengacara Handing Lianhe di Beijing, Zhou Zichuan, menyatakan bahwa untuk memenuhi instruksi pengguna, ‘lobster’ tanpa hak kontrol dapat secara langsung atau tidak langsung mengumpulkan banyak data dari seluruh jaringan. Jumlah data yang diakses, tingkat sensitivitasnya, dan hak aksesnya sering kali melebihi kendali pengguna, dan dalam kasus ekstrem dapat melanggar undang-undang tentang pengambilan data sistem komputer dan pelanggaran perlindungan data pribadi warga.

“Selain itu, banyak pengguna saat ini mencari kemudahan dengan membayar pihak ketiga untuk menginstal ‘lobster’, tetapi pihak ketiga ini belum tentu memiliki perlindungan keamanan yang memadai, sehingga sangat rentan menyebabkan data perangkat terekspos. Penyerang dapat menggunakan kode berbahaya untuk mengendalikan perangkat dari jarak jauh dan mencuri informasi sensitif,” tambah Zhou Zichuan.

Di tengah gelombang ini, perlunya menjaga garis keamanan

Laporan kerja pemerintah tahun ini menyatakan akan memperdalam pengembangan ‘AI +’, mempercepat promosi terminal dan agen cerdas generasi baru, serta mendorong komersialisasi dan skala aplikasi AI di bidang utama industri, serta membina bentuk dan model bisnis baru berbasis kecerdasan.

“‘Lobster’ muncul sebagai jalur baru dalam penerapan AI. Jika digunakan secara teratur dan sesuai aturan, dapat memaksimalkan fungsi AI yang ada dan meningkatkan efisiensi kerja individu maupun perusahaan secara signifikan,” kata Yu Jingwen. Ia menambahkan, agar ‘lobster’ berkembang secara sehat, kuncinya adalah menyeimbangkan kemudahan dan keamanan.

“Karakteristik teknologi baru yang ditampilkan oleh ‘lobster’ dan AI lainnya membuat masalah hukum terkait AI menjadi semakin kompleks,” kata Zhou Zichuan. Ia memberi contoh, masalah utama seperti ‘ketidakjelasan hak dan kewajiban’, ketika ‘lobster’ dan AI lain melakukan tindakan berdasarkan instruksi pengguna dan menyebabkan pelanggaran atau tindakan ilegal, bagaimana pengembang, penyebar, dan pengguna harus bertanggung jawab, perlu ditegaskan secara hukum.

Bagi pengembang dan penyedia layanan AI, Zhou menyarankan, pertama, harus aktif memenuhi kewajiban sesuai peraturan perlindungan data pribadi, seperti memastikan pencatatan log pengolahan data yang lengkap dan dapat dilacak. Kedua, dalam praktiknya, harus meningkatkan kesadaran akan kepatuhan hukum, seperti memperkuat manajemen hak akses AI dan meninjau kata kunci peringatan, untuk mengurangi risiko keamanan.

Peringatan dari Pusat Respon Darurat Internet juga memberikan saran konkret: pihak terkait dan pengguna harus melakukan isolasi ketat terhadap lingkungan operasional saat menginstal dan menggunakan OpenClaw, menggunakan teknologi container untuk membatasi hak akses OpenClaw, serta mengelola sumber plugin secara ketat dan terus memantau patch serta pusat keamanan.

“Pengguna harus melakukan penilaian menyeluruh terhadap nilai dan risiko sebelum ‘memelihara lobster’, memastikan apakah benar-benar membutuhkannya untuk menyelesaikan masalah, lalu memutuskan apakah akan menginstalnya,” ingat Yu Jingwen. “Dalam penggunaannya, juga harus melakukan segmentasi data dan perlindungan privasi secara ketat, jangan mengikuti tren secara buta, dan jangan membiarkan data dan privasi pribadi terpapar risiko.”