Kantor Komisioner Privasi Hong Kong Memperingatkan Risiko "Shrimp Farming": OpenClaw dan AI Beragent Lainnya Dapat Menyebabkan Kebocoran Data

Setiap hari, jurnalis | Li Xukui Editor | Bi Luming

代理式 AI (Artificial Intelligence) yang diwakili oleh OpenClaw (kerangka kerja AI open-source yang dikenal sebagai “Kepiting”) sedang menarik perhatian pihak berwenang karena risiko privasi dan keamanan yang terkait.

Pada 16 Maret, Kantor Komisaris Privasi Data Pribadi Hong Kong (selanjutnya disebut “Kantor Privasi”) mengeluarkan pernyataan di situs resmi mereka bahwa mereka sedang memantau secara ketat risiko privasi dan keamanan data pribadi yang ditimbulkan oleh OpenClaw dan AI proxy lainnya, serta menyerukan agar lembaga dan masyarakat mengambil langkah pencegahan yang cukup sebelum menggunakan alat AI semacam ini.

Kantor Privasi menunjukkan bahwa AI proxy memiliki penggunaan yang lebih luas dibandingkan chatbot AI umum yang biasanya digunakan untuk balasan teks, rangkuman konten, atau pembuatan konten. AI proxy biasanya adalah alat proxy AI berizin tinggi yang dapat di-deploy di perangkat lokal atau server, mampu membaca dan menulis file lokal, memanggil sumber daya sistem, mengoperasikan layanan eksternal, bahkan dapat menjalankan tugas multi-langkah secara otomatis sesuai proses yang telah diprogram, seperti mengelola email, reservasi restoran, membayar tagihan, tanpa perlu partisipasi langsung dari pengguna.

Karakteristik izin tinggi dan otomatisasi ini menyebabkan risiko privasi dari AI proxy jauh lebih tinggi dibandingkan chatbot AI biasa. Terkait risiko potensialnya, Kantor Privasi mengidentifikasi tiga aspek utama:

Pertama, izin yang terlalu tinggi dapat menyebabkan data pribadi tersebar secara besar-besaran. Izin akses yang diprogramkan pada AI proxy umumnya lebih tinggi daripada chatbot AI, termasuk akses ke file di perangkat pengguna, email, kredensial akun, dan konten yang disimpan di browser. Jika pengaturan izin ini tidak dikontrol secara ketat, AI proxy dapat mengakses sejumlah besar data pribadi yang melibatkan pengguna dan pihak lain, meningkatkan risiko akses tidak sah, penyalinan, dan kebocoran data oleh pihak ketiga. Selain itu, AI proxy juga dapat salah memahami instruksi pengguna dan secara tidak sengaja menghapus data penting, seperti menghapus semua catatan email pengguna.

Kedua, celah sistem atau kerentanan dapat menjadi pintu masuk serangan siber. AI proxy yang memiliki izin tinggi dan dapat mengakses berbagai sistem dan sumber data, jika terdapat celah dalam desain sistem atau pengendalian keamanan, dapat menimbulkan risiko besar terhadap privasi data pribadi dan keamanan data secara keseluruhan.

Ketiga, risiko plugin pihak ketiga atau kode berbahaya tersembunyi. Jika AI proxy mengizinkan pengguna menginstal berbagai plugin atau skill, dan beberapa di antaranya belum melalui proses pemeriksaan keamanan yang ketat, maka program tersebut berpotensi menyisipkan kode berbahaya. Peretas dapat memanfaatkan ini untuk mengakses dan mengendalikan akun pengguna, bahkan mengendalikan seluruh sistem komputer, yang berujung pada kebocoran data pribadi dan data sensitif lainnya.

Menanggapi risiko-risiko tersebut, Kantor Privasi menyarankan agar lembaga dan masyarakat saat menggunakan AI proxy untuk mengumpulkan, menggunakan, dan memproses data pribadi, harus memperhatikan pemberian izin minimal, selalu menggunakan versi resmi terbaru, mengambil langkah-langkah keamanan yang memadai untuk melindungi sistem dan data, berhati-hati saat menginstal dan menggunakan plugin atau skill, serta secara terus-menerus mengevaluasi risiko.

Perlu dicatat bahwa, berdasarkan penelusuran wartawan Daily Economic News, ini bukan kali pertama pihak berwenang mengeluarkan peringatan terkait pemasangan OpenClaw.

Pada 13 Maret, Kantor Kebijakan Digital yang bertanggung jawab atas kebijakan AI di Pemerintah Daerah Khusus Hong Kong menyatakan kepada media bahwa mereka telah memperhatikan adanya risiko keamanan yang tidak pasti dari OpenClaw dan telah mengingatkan berbagai departemen pemerintah agar tidak menginstal OpenClaw di komputer yang terhubung ke jaringan internal pemerintah.

Pada hari yang sama, Pusat Informasi dan Peringatan Keamanan Siber Nasional merilis peringatan risiko keamanan OpenClaw, menyebutkan bahwa “banyak aset OpenClaw yang terekspos ke internet menghadapi risiko keamanan besar dan sangat rentan menjadi target serangan siber.”

Pada 15 Maret, akun resmi Asosiasi Keuangan Internet China mengeluarkan peringatan bahwa meskipun OpenClaw dapat meningkatkan efisiensi kerja, izin sistem yang tinggi secara default dan konfigurasi keamanan yang lemah sangat rentan dimanfaatkan oleh penyerang untuk mencuri data sensitif atau mengendalikan transaksi secara ilegal, sehingga menimbulkan tantangan risiko serius bagi industri.

Asosiasi Keuangan Internet China menyarankan konsumen keuangan agar berhati-hati saat menginstal OpenClaw di perangkat untuk layanan perbankan online, perdagangan sekuritas, pembayaran, dan layanan keuangan pribadi lainnya. Jika memang perlu menginstalnya, disarankan untuk tidak memberikan izin operasi sistem layanan keuangan, mengikuti pembaruan kerentanan OpenClaw secara tepat waktu, membatasi pemasangan plugin fungsi secara ketat, dan tidak memasukkan data sensitif seperti nomor identitas, nomor kartu bank, atau kata sandi pembayaran saat menggunakan.

Selain itu, beberapa universitas seperti Akademi Teknologi Kesehatan dan Obat-obatan Henan, Akademi Teknologi Terapan Shanxi, dan Akademi Teknologi Industri Baja Gansu telah mengeluarkan pengumuman baru-baru ini yang melarang penggunaan OpenClaw di lingkungan jaringan kampus. Bagian atau staf pengajar yang telah menginstalnya harus segera menghapusnya secara menyeluruh.