Keamanan agen AI kembali diuji. Kali ini, dua tim peneliti independen berhasil mengungkap serangkaian serangan yang bisa membobol OpenClaw, agen AI populer yang sering di-hosting sendiri.
Baca Juga: OceanLotus Gencarkan Spionase Domestik, Targetkan Investor dan Infrastruktur Vietnam
Serangan ini mengejutkan karena hanya memanfaatkan input yang terlihat biasa—seperti kontak vCard, pin lokasi, atau email phishing yang meyakinkan—untuk mengeksekusi kode berbahaya atau membocorkan data sensitif.
Dilansir dari The Hacker News, kedua tim—Imperva dan Varonis—mendemonstrasikan bagaimana kelemahan desain mendasar pada OpenClaw bisa dieksploitasi. Imperva fokus pada celah teknis yang memungkinkan penyisipan perintah tersembunyi dalam objek yang dibagikan, sementara Varonis menguji ketahanan agen terhadap rekayasa sosial melalui email.
Baca Juga: AI Generatif Jadi Target di Pwn2Own Berlin 2026, Hadiah Mencapai US$1,3 Juta
Sembunyi di Kontak dan Lokasi
Peneliti Imperva, Yohann Sillam, menggali bagaimana OpenClaw menyerahkan data pesan ke model bahasa besar (LLM) di belakangnya. Ketika agen meneruskan kontak bersama, vCard, atau lokasi ke LLM, ia meratakan objek tersebut ke dalam teks prompt secara inline tanpa penanda khusus sebagai tidak tepercaya.
Akibatnya, penyerang bisa menyelipkan instruksi tambahan di bidang seperti nama kontak atau label lokasi, yang tidak terlihat oleh pengguna karena terpotong di layar aplikasi seperti WhatsApp.
“Sebuah konten yang dibagikan secara luas yang membawa instruksi tersembunyi dapat secara diam-diam mengkompromikan agen yang menerimanya, jika tidak di-sandbox,” kata Imperva.
Dalam pengujian terhadap Gemini 3.1 Pro, teks tersembunyi itu berhasil memerintahkan agen untuk mengunduh dan menjalankan skrip dari server yang dikendalikan peneliti. Beruntung, OpenClaw telah merilis perbaikan di versi 2026.4.
23 yang memindahkan bidang-bidang rawan tadi dari badan prompt ke saluran metadata terpisah, sehingga instruksi injeksi tidak lagi dieksekusi.
Phishing yang Memanfaatkan Kepercayaan
Sementara itu, Varonis Threat Labs mendekati OpenClaw dari sudut pandang yang berbeda. Mereka membangun agen bernama Pinchy, menghubungkannya ke kotak masuk Gmail yang diisi data bisnis sintetis dan rahasia palsu.
Tim ini mensimulasikan serangan phishing melalui email, bukan injeksi prompt. Dua tes eksfiltrasi yang dijalankan pada Gemini 3.1 Pro dan OpenAI Codex GPT-5.4 menunjukkan hasil yang mengkhawatirkan: agen yang seharusnya memverifikasi pengirim justru dengan sukarela menyerahkan kunci AWS IAM palsu dan data 247 pelanggan sintetis ke alamat eksternal.
Menariknya, agen Pinchy justru lebih jago mendeteksi URL mencurigakan dan portal login palsu. Tapi ia gagal menilai konteks sosial—seperti permintaan mendadak dari rekan kerja di jam tidak biasa. Seperti yang diungkapkan Varonis, “memperlakukan agen seperti karyawan junior dengan akses sistem dan tanpa naluri untuk hal yang tidak biasa, bukan sebagai alat keamanan.”
Lebih Banyak Celah Terbongkar
Kerawanan OpenClaw ternyata tidak berhenti di situ. Analisis terpisah oleh InfoSec Write-ups menggunakan aturan analisis statis dan menemukan lima kelemahan tambahan di ekstensi saluran Slack, Discord, Matrix, Zalo, dan Microsoft Teams.
Semua bug memiliki pola serupa: kode startup yang menyelesaikan daftar izin berdasarkan nama tampilan alih-alih ID stabil, sehingga penyerang bisa mengubah namanya untuk menyelinap masuk. OpenClaw telah menambal bug-bug tersebut.
Langkah Perlindungan
Bagi siapa pun yang menjalankan OpenClaw, pembaruan ke versi 2026.4. 23 atau lebih baru wajib dilakukan untuk mendapatkan perbaikan objek pesan.
Varonis sendiri menjabarkan empat kontrol penting untuk mengurangi risiko: perlakukan file instruksi agen sebagai kebijakan yang ketat, jangan izinkan pengiriman pertama ke alamat tak dikenal tanpa persetujuan, lacak tingkat kepercayaan setiap pemicu tugas, dan tindakan paling berisiko seperti meneruskan kredensial harus menunggu persetujuan manusia.
Baca Juga: Anthropic Resmi Luncurkan Claude Fable 5, Gratis Hingga 22 Juni
Otoritas perlindungan data Belanda, Autoriteit Persoonsgegevens, bahkan sudah mewanti-wanti agar tidak menjalankan OpenClaw pada sistem dengan data sensitif karena risiko pelanggaran dan pengambilalihan akun. Meski perbaikan dan pagar pembatas sudah disediakan, masalah mendasarnya masih terbuka: selama agen AI dirancang untuk selalu membantu dan mempercayai input, tidak akan ada perbaikan yang benar-benar universal.
Leave a Comment