Baru-baru ini, platform agen AI open source yang dapat di-hosting sendiri, OpenClaw (dalam komunitas biasa disebut "Crayfish"), menjadi populer dengan cepat berkat fleksibilitas dan kemampuan penyebaran yang dapat dikendalikan secara mandiri, menjadi produk fenomenal di bidang agen AI pribadi. Inti ekosistemnya, Clawhub, berfungsi sebagai pasar aplikasi yang mengumpulkan banyak plugin fungsi Skill pihak ketiga, memungkinkan agen AI membuka kunci kemampuan tingkat tinggi mulai dari pencarian web, pembuatan konten, hingga operasi dompet kripto, interaksi on-chain, dan otomatisasi sistem, dengan skala ekosistem dan jumlah pengguna yang mengalami pertumbuhan eksplosial.
Tapi untuk Skill pihak ketiga yang berjalan di lingkungan dengan izin tinggi ini, di mana sebenarnya batas keamanan platformnya?
Belum lama ini, perusahaan keamanan Web3 terbesar di dunia, CertiK, merilis penelitian terbaru tentang keamanan Skill. Artikel tersebut menyatakan bahwa saat ini terdapat kesalahan persepsi di pasar mengenai batas keamanan ekosistem agen AI: industri umumnya menganggap "pemindaian Skill" sebagai batas keamanan inti, padahal mekanisme ini hampir tidak berguna ketika menghadapi serangan peretas.
Jika OpenClaw diibaratkan sebagai sistem operasi perangkat pintar, maka Skill adalah berbagai APP yang diinstal di dalam sistem. Berbeda dengan APP konsumen biasa, beberapa Skill di OpenClaw berjalan di lingkungan dengan izin tinggi, dapat langsung mengakses file lokal, memanggil alat sistem, menghubungkan layanan eksternal, menjalankan perintah lingkungan host, bahkan mengoperasikan aset digital terenkripsi pengguna. Begitu masalah keamanan muncul, hal ini akan langsung menyebabkan kebocoran informasi sensitif, perangkat diambil alih dari jarak jauh, pencurian aset digital, dan konsekuensi serius lainnya.
Solusi keamanan umum industri saat ini untuk Skill pihak ketiga adalah "pemindaian dan audit sebelum dirilis". Clawhub OpenClaw juga telah membangun sistem perlindungan audit tiga lapis: menggabungkan pemindaian kode VirusTotal, mesin deteksi kode statis, dan deteksi konsistensi logika AI, dengan memberikan peringkat risiko untuk mengirimkan peringatan keamanan kepada pengguna, berusaha menjaga keamanan ekosistem dengan cara ini. Namun, penelitian dan pengujian serangan proof-of-concept CertiK membuktikan bahwa sistem deteksi ini memiliki kelemahan dalam pertahanan dan serangan nyata, dan tidak dapat memikul tanggung jawab inti sebagai perlindungan keamanan.
Penelitian pertama-tama menguraikan keterbatasan alami dari mekanisme deteksi yang ada:
Aturan deteksi statis sangat mudah dilewati. Inti mesin ini bergantung pada pencocokan fitur kode untuk mengidentifikasi risiko, misalnya mengkombinasikan "membaca informasi sensitif lingkungan + permintaan jaringan keluar" sebagai perilaku berisiko tinggi. Namun, penyerang hanya perlu melakukan penulisan ulang sintaksis yang ringan pada kode, dengan sepenuhnya mempertahankan logika berbahaya, dapat dengan mudah melewati pencocokan fitur, seperti memberikan konten berbahaya dengan ekspresi yang sama, membuat mesin pemeriksaan keamanan benar-benar gagal.
Audit AI memiliki kelemahan deteksi bawaan. Inti audit AI Clawhub adalah "pendeteksi konsistensi logika", yang hanya dapat menemukan kode berbahaya yang jelas dimana "fungsi yang dinyatakan tidak sesuai dengan perilaku aktual", tetapi tidak berdaya terhadap kerentanan yang dapat dieksploitasi yang tersembunyi dalam logika bisnis normal, seperti sulit menemukan jebakan mematikan yang tersembunyi di dalam klausul kontrak yang tampaknya mematuhi aturan.
Yang lebih fatal adalah, proses audit memiliki cacat desain dasar: bahkan ketika hasil pemindaian VirusTotal masih dalam status "sedang diproses", Skill yang belum menyelesaikan "pemeriksaan kesehatan" penuh dapat langsung dirilis secara publik, pengguna dapat menyelesaikan instalasi tanpa peringatan, memberikan celah bagi penyerang.
Untuk memverifikasi bahaya risiko yang sebenarnya, tim penelitian CertiK menyelesaikan pengujian lengkap. Tim mengembangkan Skill bernama "test-web-searcher", yang secara permukaan adalah alat pencarian web yang sepenuhnya mematuhi aturan, dengan logika kode yang sepenuhnya sesuai dengan spesifikasi pengembangan biasa, tetapi sebenarnya menyisipkan kerentanan eksekusi kode jarak jauh dalam alur fungsi normal.
Skill ini berhasil melewati deteksi mesin statis dan audit AI, dan dapat diinstal secara normal tanpa peringatan keamanan apa pun saat pemindaian VirusTotal masih tertunda; akhirnya, dengan mengirimkan satu perintah jarak jauh melalui Telegram, berhasil memicu kerentanan, dan mencapai eksekusi perintah sewenang-wenang pada perangkat host (dalam demonstrasi langsung mengontrol sistem untuk membuka kalkulator).
CertiK dalam penelitiannya dengan jelas menyatakan bahwa masalah ini bukan bug produk unik OpenClaw, tetapi kesalahan persepsi umum seluruh industri agen AI: industri umumnya menganggap "audit dan pemindaian" sebagai garis pertahanan keamanan inti, tetapi mengabaikan fondasi keamanan yang sebenarnya, yaitu isolasi paksa selama runtime dan pengelolaan izin yang terperinci. Ini seperti keamanan inti ekosistem Apple iOS, yang never berasal dari audit ketat App Store, tetapi dari mekanisme sandbox yang dipaksakan oleh sistem, pengelolaan izin yang terperinci, memungkinkan setiap APP berjalan di "ruang isolasi" khususnya, tidak dapat secara sewenang-wenang mendapatkan izin sistem. Sedangkan mekanisme sandbox OpenClaw yang ada adalah opsional dan tidak wajib, dan sangat bergantung pada konfigurasi manual pengguna, sebagian besar pengguna untuk memastikan kegunaan fungsi Skill akan memilih untuk menutup sandbox, akhirnya membuat agen AI dalam keadaan "telanjang", sekali menginstal Skill yang mengandung kerentanan atau kode berbahaya, akan langsung menyebabkan konsekuensi bencana.
Untuk masalah yang ditemukan ini, CertiK juga memberikan panduan keamanan:
● Bagi pengembang agen AI seperti OpenClaw, harus mengatur isolasi sandbox sebagai konfigurasi wajib default untuk Skill pihak ketiga, menyempurnakan model pengelolaan izin Skill, tidak mengizinkan kode pihak ketiga secara default mewarisi izin tinggi host.
● Bagi pengguna biasa, Skill di pasar dengan label "aman" hanya menunjukkan bahwa itu belum terdeteksi risiko, tidak sama dengan benar-benar aman. Sebelum pihak resmi mengatur mekanisme isolasi kuat dasar sebagai konfigurasi default, disarankan untuk menyebarkan OpenClaw di perangkat tidak penting yang tidak digunakan atau mesin virtual, jangan sekali-kali mendekatkannya dengan file sensitif, kredensial kata sandi, dan aset kripto bernilai tinggi.
Saai ini bidang agen AI sedang berada di ambang ledakan, kecepatan ekspansi ekosistem tidak boleh mengalahkan langkah pembangunan keamanan. Audit dan pemindaian hanya dapat menghentikan serangan berbahaya tingkat dasar, dan never dapat menjadi batas keamanan untuk agen AI berizin tinggi. Hanya dengan beralih dari "mengejar deteksi sempurna" ke "penahanan kerusakan dengan default risiko ada", menetapkan batas isolasi secara paksa dari dasar selama runtime,才能真正兜住 batas keamanan底线 agen AI, membuat perubahan teknologi ini berjalan stabil dan jauh.
Teks penelitian asli:https://x.com/hhj4ck/status/2033527312042315816?s=20
https://mp.weixin.qq.com/s/Wxrzt7bAo86h3bOKkx6 UoA
