CertiK Pengujian Praktis: Bagaimana OpenClaw Skill yang Cacat Dapat Melewati Audit, Mengambil Alih Komputer Tanpa Otorisasi

Baru-baru ini, platform AI cerdas open-source yang dikelola sendiri, OpenClaw (dikenal dalam komunitas sebagai “Kepiting Mini” atau “Kepiting Udang”) dengan cepat menjadi terkenal berkat fleksibilitas skalabilitasnya dan fitur penyebaran yang dapat dikontrol secara mandiri, sehingga menjadi produk fenomenal di jalur AI cerdas pribadi. Inti ekosistemnya, Clawhub, sebagai pasar aplikasi, mengumpulkan sejumlah besar plugin Skill pihak ketiga, memungkinkan AI cerdas membuka kunci kemampuan tingkat tinggi secara satu klik, mulai dari pencarian web, pembuatan konten, hingga operasi dompet kripto, interaksi blockchain, otomatisasi sistem, dan lain-lain. Skala ekosistem dan jumlah pengguna pun mengalami pertumbuhan yang pesat.

Namun, untuk Skill pihak ketiga yang berjalan di lingkungan dengan hak akses tinggi ini, di mana batas keamanan platform yang sebenarnya?

Baru-baru ini, CertiK, perusahaan keamanan Web3 terbesar di dunia, merilis penelitian terbaru tentang keamanan Skill. Dalam laporan tersebut disebutkan bahwa saat ini terdapat kesalahan persepsi di pasar mengenai batas keamanan ekosistem AI cerdas: industri secara umum menganggap “pemindaian Skill” sebagai garis pertahanan utama keamanan, padahal mekanisme ini hampir tidak berguna menghadapi serangan hacker.

Jika OpenClaw diibaratkan sebagai sistem operasi perangkat cerdas, maka Skill adalah berbagai aplikasi yang terpasang di dalamnya. Berbeda dari aplikasi konsumen biasa, beberapa Skill di OpenClaw berjalan di lingkungan dengan hak akses tinggi, dapat langsung mengakses file lokal, memanggil alat sistem, menghubungkan layanan eksternal, mengeksekusi perintah lingkungan host, bahkan mengelola aset digital terenkripsi pengguna. Jika terjadi masalah keamanan, konsekuensinya bisa berupa bocornya informasi sensitif, perangkat diremote control, pencurian aset digital, dan akibat serius lainnya.

Saat ini, solusi keamanan umum untuk Skill pihak ketiga di seluruh industri adalah “pemindaian dan peninjauan sebelum dipublikasikan”. Clawhub dari OpenClaw juga membangun sistem perlindungan tiga lapis: menggabungkan pemindaian kode VirusTotal, mesin deteksi kode statis, dan deteksi konsistensi logika AI, serta memberikan notifikasi peringatan keamanan kepada pengguna berdasarkan tingkat risiko, berusaha menjaga keamanan ekosistem. Namun, penelitian dan pengujian serangan yang dilakukan CertiK membuktikan bahwa sistem deteksi ini memiliki kelemahan dalam situasi nyata serangan dan pertahanan, sehingga tidak mampu menjalankan fungsi utama sebagai garis pertahanan keamanan.

Pertama, mereka mengurai keterbatasan alami dari mekanisme deteksi yang ada:

Aturan deteksi statis sangat mudah dilanggar. Mesin ini bergantung pada pencocokan fitur kode untuk mengidentifikasi risiko, misalnya menganggap kombinasi “membaca informasi sensitif lingkungan + mengirim permintaan jaringan keluar” sebagai perilaku berisiko tinggi. Namun, penyerang cukup melakukan sedikit modifikasi sintaks kode, tetap mempertahankan logika berbahaya, dan dengan mudah mengelak dari pencocokan fitur tersebut—seperti mengganti ungkapan sinonim dari konten berbahaya sehingga sistem keamanan menjadi tidak efektif.

Deteksi AI memiliki celah bawaan. Inti dari proses peninjauan AI di Clawhub adalah “detektor konsistensi logika”, yang hanya mampu mengidentifikasi kode berbahaya yang secara eksplisit menyatakan fungsi yang tidak sesuai dengan perilaku aktualnya. Ia tidak mampu mendeteksi celah yang tersembunyi di dalam logika bisnis normal, seperti sulit menemukan jebakan mematikan yang tersembunyi di dalam kontrak yang tampaknya sesuai aturan.

Lebih berbahaya lagi, proses peninjauan memiliki kekurangan desain dasar: bahkan jika hasil pemindaian VirusTotal masih dalam status “menunggu”, Skill yang belum menjalani seluruh proses “pemeriksaan lengkap” tetap bisa dipublikasikan secara terbuka. Pengguna dapat menginstalnya tanpa peringatan, meninggalkan celah bagi penyerang.

Untuk menguji bahaya risiko secara nyata, tim CertiK melakukan pengujian lengkap. Mereka mengembangkan sebuah Skill bernama “test-web-searcher”, yang secara tampak adalah alat pencarian web yang sepenuhnya sesuai aturan, kode logikanya mengikuti standar pengembangan umum, tetapi secara diam-diam menyisipkan celah eksekusi kode jarak jauh.

Skill ini mampu melewati deteksi mesin statis dan peninjauan AI, dan saat pemindaian VirusTotal masih dalam status “menunggu”, Skill ini dapat diinstal secara normal tanpa peringatan keamanan. Akhirnya, dengan mengirim perintah jarak jauh melalui Telegram, celah tersebut berhasil dieksploitasi, dan di perangkat host, eksekusi perintah sembarang berhasil dilakukan (dalam demonstrasi, langsung muncul kalkulator di layar).

CertiK secara tegas menyatakan bahwa masalah ini bukanlah bug produk eksklusif OpenClaw, melainkan kesalahan persepsi umum di seluruh industri AI cerdas: industri secara umum menganggap “peninjauan dan pemindaian” sebagai garis pertahanan utama keamanan, tetapi mengabaikan fondasi keamanan yang sebenarnya, yaitu isolasi paksa saat runtime dan pengelolaan hak akses yang cermat. Ini mirip dengan inti keamanan ekosistem iOS Apple, yang bukanlah ketatnya peninjauan App Store, melainkan mekanisme sandbox sistem dan pengelolaan hak akses yang ketat, sehingga setiap aplikasi hanya dapat berjalan dalam “kapsul isolasi” khusus dan tidak bisa sembarangan mengakses hak sistem. Sedangkan sandbox di OpenClaw saat ini bersifat opsional dan sangat bergantung pada konfigurasi manual pengguna. Sebagian besar pengguna, demi memastikan fungsi Skill tetap berjalan, memilih menonaktifkan sandbox, sehingga AI cerdas berada dalam kondisi “telanjang”, dan jika mereka menginstal Skill yang mengandung celah atau kode berbahaya, konsekuensinya bisa sangat fatal.

Sebagai tanggapan terhadap temuan ini, CertiK juga memberikan panduan keamanan:

● Bagi pengembang AI cerdas seperti OpenClaw, harus menjadikan isolasi sandbox sebagai konfigurasi wajib default untuk Skill pihak ketiga, mengelola hak akses Skill secara cermat, dan sama sekali tidak membiarkan kode pihak ketiga mewarisi hak akses tinggi dari host secara default.

● Bagi pengguna umum, Skill yang diberi label “aman” di pasar hanya menunjukkan bahwa risiko tidak terdeteksi, bukan berarti benar-benar aman. Sebelum mekanisme isolasi dasar ini dijadikan pengaturan default, disarankan untuk menyebarkan OpenClaw di perangkat tidak penting atau mesin virtual yang tidak digunakan secara aktif, dan jangan biarkan ia mengakses file sensitif, kredensial, atau aset kripto bernilai tinggi.

Saat ini, jalur AI cerdas sedang berada di ambang ledakan, dan kecepatan ekspansi ekosistem tidak boleh mengalahkan langkah-langkah keamanan. Pemindaian dan peninjauan hanya mampu mencegah serangan berbahaya tingkat dasar, tetapi tidak akan pernah menjadi garis pertahanan utama keamanan AI dengan hak akses tinggi. Hanya dengan beralih dari “pencarian deteksi sempurna” ke “pengendalian kerusakan risiko yang sudah ada secara default”, dan secara paksa menetapkan batas isolasi saat runtime, kita dapat benar-benar menjaga garis pertahanan keamanan AI cerdas, memastikan kemajuan teknologi ini berjalan stabil dan berkelanjutan.