Ekstensi ‘Skill’ OpenClaw: Mimpi Buruk Keamanan AI yang Bikin Dompet Terkuras Habis!
Sudah berapa kali kita mendengar janji manis tentang asisten AI yang akan mempermudah hidup, mengelola jadwal, hingga membersihkan inbox? Terlalu sering. Dan kali ini, giliran OpenClaw yang naik daun dengan klaim “agen AI yang benar-benar bisa melakukan banyak hal.” Tapi, seperti asisten rumah tangga yang terlalu rajin tapi ceroboh, kepintarannya justru membuka pintu gerbang ke neraka digital. Para majikan digital, bersiaplah untuk pelajaran keras tentang mengapa kendali atas AI tetap ada di tangan akal manusia, bukan sekadar memercayai “skill” dari robot yang kurang piknik.
OpenClaw, yang sebelumnya dikenal dengan nama Clawdbot atau Moltbot, memang menjanjikan segudang kemudahan. Bayangkan asisten pribadi yang bisa mengurus kalendermu, check-in penerbangan, hingga bersih-bersih email, semua berjalan lokal di perangkatmu dan bisa diakses via WhatsApp atau iMessage. Kedengarannya seperti mimpi bukan? Sayangnya, mimpi ini berubah jadi mimpi buruk.
Baru-baru ini, para peneliti keamanan siber menemukan ratusan add-on “skill” berbahaya di ClawHub, marketplace OpenClaw. Ya, ratusan! Ini bukan cuma celah kecil, tapi seperti pintu gudang yang dibiarkan menganga saat ada pesta topeng penjahat. Jason Meller, VP produk 1Password, bahkan menyebut skill hub ini sebagai “permukaan serangan” yang empuk, dengan add-on paling banyak diunduh justru jadi “kendaraan pengantar malware.” Jadi, alih-alih memberdayakan, para pengguna OpenClaw justru tanpa sadar mengundang maling ke rumah digital mereka.
Yang lebih konyol lagi, malware ini menyamar sebagai alat otomatisasi trading cryptocurrency. Modusnya? Memanipulasi pengguna untuk menjalankan kode berbahaya yang mencuri aset kripto seperti kunci API exchange, kunci pribadi dompet, kredensial SSH, hingga kata sandi browser. Bayangkan, robot yang seharusnya membuatmu cuan, malah bikin dompetmu terkuras habis. Ini seperti menyuruh asisten untuk mengurus keuangan, tapi dia malah kabur dengan semua uangmu sambil senyum-senyum di balik kode programnya. Ini jelas menunjukkan bahwa bahkan dengan teknologi paling “pintar” sekalipun, akal manusia untuk memverifikasi dan memahami risiko adalah kunci utama yang tidak bisa digantikan algoritma.
OpenSourceMalware, platform yang melacak malware di ekosistem open-source, menemukan 28 skill berbahaya di ClawHub hanya dalam tiga hari (27-29 Januari), dan 386 add-on berbahaya lainnya antara 31 Januari hingga 2 Februari. Angka ini sungguh memprihatinkan, dan merupakan tamparan keras bagi siapa pun yang menganggap AI adalah solusi tanpa cela. Robot memang bisa sangat efisien, tapi mereka juga bisa menjadi babu yang sangat patuh pada perintah jahat.
Meller menambahkan, skill OpenClaw sering diunggah sebagai berkas markdown, yang bisa berisi instruksi jahat untuk pengguna dan agen AI itu sendiri. Sebuah skill “Twitter” populer bahkan ditemukan mengarahkan pengguna ke tautan yang dirancang untuk mengunduh infostealing malware. Jadi, majikan, jangan cuma karena label “populer” lantas percaya buta pada setiap add-on yang bergentayangan di dunia AI. Ingat, robot bisa memoles dirinya secantik mungkin, tapi niat busuknya tetap tersembunyi di kode-kode yang tak kasat mata.
Pencipta OpenClaw, Peter Steinberger, memang sedang berupaya mengatasi risiko ini, dengan mewajibkan akun GitHub berusia minimal satu minggu untuk penerbit skill baru, serta menyediakan fitur pelaporan. Namun, ini seperti menutup kandang ayam setelah serigala berpesta. Langkah-langkah ini, meskipun patut diapresiasi, tidak secara fundamental menghapus kemungkinan malware menyusup ke platform. AI, pada dasarnya, masih membutuhkan mata dan akal seorang majikan yang waspada.
Ini bukan pertama kalinya dunia AI digemparkan oleh isu keamanan. Pembaca setia Majikan AI pasti ingat bagaimana jaringan sosial robot Moltbook pernah membocorkan jutaan data, dan ternyata dalangnya bukan cuma robot bodoh, melainkan tangan-tangan manusia yang punya niat licik. Lebih lanjut, artikel tentang OpenClaw: Ketika Robot Mulai “Berakal” Sendiri, Tapi Lupa Urus Keamanan & Etika juga menegaskan pentingnya akal manusia dalam mengawasi perkembangan AI.
‘Baca juga artikel menarik lainnya di kategori Sidang Bot.’
Jadi, para majikan AI, pelajaran apa yang bisa kita petik dari drama OpenClaw ini?
Kendalikan AI agar kamu tetap menjadi Majikan, bukan babu teknologi dengan AI Master!
AI memang adalah alat yang luar biasa, mampu melakukan hal-hal yang dulu hanya ada di film fiksi ilmiah. Tapi, ia juga seperti pisau bermata dua. Di satu sisi sangat membantu, di sisi lain sangat berbahaya jika tidak dipegang oleh tangan yang bijak. Kita, sebagai majikan yang punya akal, punya tanggung jawab penuh untuk tidak menyerahkan kendali sepenuhnya kepada tumpukan kode yang hanya mengikuti perintah, entah itu perintah baik atau perintah jahat. Sebab AI hanyalah alat, kaulah majikan yang punya akal.
Suatu hari nanti, mungkin AI akan bisa mengenali malware sendiri. Tapi saat ini, mereka masih butuh kita. Sama seperti robot penyedot debu yang (masih sering) nyangkut di bawah sofa, dia butuh majikannya untuk mengangkatnya.
Sumber Berita: Artikel ini dirangkum dari sumber asli di “The Verge”.
Gambar oleh: The Verge Archive via TechCrunch