Baru-baru ini, platform agen AI open-source yang dapat dihosting sendiri, OpenClaw (dalam komunitas biasa disebut "Lobster Kecil"), menjadi populer dengan cepat berkat fleksibilitas dan kemampuan penyebaran yang dapat dikendalikan secara mandiri, menjadi produk fenomenal di bidang agen AI pribadi. Clawhub, sebagai pusat ekosistem dan pasar aplikasi, menghimpun banyak plugin fungsional Skill pihak ketiga, memungkinkan agen AI membuka kunci kemampuan tingkat tinggi mulai dari pencarian web, pembuatan konten, hingga operasi dompet kripto, interaksi on-chain, dan otomatisasi sistem, dengan pertumbuhan eksplosif dalam skala ekosistem dan jumlah pengguna.
Tapi di mana sebenarnya batas keamanan platform untuk Skill pihak ketiga yang berjalan di lingkungan dengan izin tinggi ini?
Belum lama ini, perusahaan keamanan Web3 terbesar di dunia, CertiK, merilis penelitian terbaru tentang keamanan Skill. Penelitian tersebut menunjukkan bahwa saat ini ada kesalahan persepsi di pasar tentang batas keamanan ekosistem agen AI: industri umumnya menganggap "pemindaian Skill" sebagai batas keamanan inti, tetapi mekanisme ini hampir tidak berguna dalam menghadapi serangan peretas.
Jika OpenClaw diibaratkan sebagai sistem operasi perangkat pintar, Skill adalah berbagai APP yang diinstal di dalamnya. Berbeda dengan APP konsumen biasa, beberapa Skill di OpenClaw berjalan di lingkungan dengan izin tinggi, dapat langsung mengakses file lokal, memanggil alat sistem, terhubung ke layanan eksternal, menjalankan perintah lingkungan host, bahkan mengoperasikan aset digital kripto pengguna. Jika terjadi masalah keamanan, hal ini dapat langsung menyebabkan kebocoran informasi sensitif, perangkat diambil alih dari jarak jauh, pencurian aset digital, dan konsekuensi serius lainnya.
Solusi keamanan umum industri saat ini untuk Skill pihak ketiga adalah "pemindaian dan pemeriksaan sebelum dirilis". Clawhub OpenClaw juga telah membangun sistem perlindungan pemeriksaan tiga lapis: menggabungkan pemindaian kode VirusTotal, mesin deteksi kode statis, dan deteksi konsistensi logika AI, dengan memberikan peringkat risiko dan notifikasi peringatan keamanan kepada pengguna, berusaha menjaga keamanan ekosistem. Namun, penelitian dan uji coba serangan konsep CertiK membuktikan bahwa sistem deteksi ini memiliki kelemahan dalam pertahanan dan serangan nyata, dan tidak dapat menjadi inti dari perlindungan keamanan.
Penelitian pertama-tama menganalisis keterbatasan alami dari mekanisme deteksi yang ada:
Aturan deteksi statis sangat mudah dilewati. Mesin ini terutama bergantung pada pencocokan fitur kode untuk mengidentifikasi risiko, misalnya mengkombinasikan "membaca informasi sensitif lingkungan + permintaan jaringan keluar" sebagai perilaku berisiko tinggi, tetapi penyerang hanya perlu mengubah sintaksis kode sedikit, dengan tetap mempertahankan logika berbahaya, dapat dengan mudah melewati pencocokan fitur, seperti memberikan konten berbahaya dengan ekspresi yang sama, membuat alat pemeriksaan keamanan benar-benar gagal.
Pemeriksaan AI memiliki kelemahan deteksi bawaan. Inti pemeriksaan AI Clawhub adalah "pendeteksi konsistensi logika", hanya dapat menemukan kode berbahaya yang jelas di mana "fungsi yang dinyatakan tidak sesuai dengan perilaku aktual", tetapi tidak dapat menangani kerentanan yang dapat dieksploitasi yang tersembunyi dalam logika bisnis normal, seperti sulit menemukan jebakan mematikan yang tersembunyi dalam klausul kontrak yang tampaknya sesuai.
Yang lebih fatal adalah, proses pemeriksaan memiliki cacat desain dasar: bahkan jika hasil pemindaian VirusTotal masih dalam status "sedang diproses", Skill yang belum menyelesaikan "pemeriksaan kesehatan" penuh dapat langsung dirilis secara publik, pengguna dapat menginstalnya tanpa peringatan, memberikan celah bagi penyerang.
Untuk memverifikasi bahaya risiko yang sebenarnya, tim penelitian CertiK menyelesaikan uji coba lengkap. Tim mengembangkan Skill bernama "test-web-searcher", yang secara permukaan adalah alat pencarian web yang sepenuhnya sesuai, dengan logika kode yang memenuhi standar pengembangan biasa, tetapi sebenarnya menyisipkan kerentanan eksekusi kode jarak jauh dalam alur fungsi normal.
Skill ini berhasil melewati deteksi mesin statis dan pemeriksaan AI, dan dapat diinstal secara normal tanpa peringatan keamanan saat pemindaian VirusTotal masih dalam status diproses; akhirnya, dengan mengirim perintah jarak jauh melalui Telegram, berhasil memicu kerentanan, dan menjalankan perintah sewenang-wenang pada perangkat host (dalam demonstrasi, kalkulator sistem langsung dikendalikan).
CertiK dalam penelitiannya dengan jelas menyatakan bahwa masalah ini bukan bug produk OpenClaw saja, tetapi kesalahan persepsi umum di industri agen AI: industri umumnya menganggap "pemeriksaan dan pemindaian" sebagai garis pertahanan keamanan inti, tetapi mengabaikan fondasi keamanan yang sebenarnya, yaitu isolasi saat runtime dan kontrol izin yang terperinci. Ini seperti keamanan inti ekosistem iOS Apple, yang bukanlah pemeriksaan ketat App Store, tetapi mekanisme sandbox yang dipaksakan sistem, kontrol izin yang terperinci, membuat setiap APP hanya dapat berjalan di "ruang isolasi" khusus, tidak dapat随意 mendapatkan izin sistem. Sedangkan mekanisme sandbox OpenClaw yang ada adalah opsional bukan wajib, dan sangat bergantung pada konfigurasi manual pengguna, sebagian besar pengguna untuk memastikan fungsionalitas Skill akan memilih untuk menutup sandbox, akhirnya membuat agen AI dalam keadaan "tanpa perlindungan", sekali menginstal Skill dengan kerentanan atau kode berbahaya, akan langsung menyebabkan konsekuensi bencana.
Untuk masalah yang ditemukan ini, CertiK juga memberikan panduan keamanan:
● Bagi pengembang agen AI seperti OpenClaw, harus mengatur isolasi sandbox sebagai konfigurasi wajib default untuk Skill pihak ketiga, memperinci model kontrol izin Skill, tidak boleh mengizinkan kode pihak ketiga secara default mewarisi izin tinggi host.
● Bagi pengguna biasa, Skill dengan label "aman" di pasar Skill, hanya menunjukkan bahwa itu belum terdeteksi risiko, tidak sama dengan benar-benar aman. Sebelum pihak resmi mengatur mekanisme isolasi kuat dasar sebagai konfigurasi default, disarankan untuk menyebarkan OpenClaw di perangkat tidak penting yang tidak digunakan atau mesin virtual, jangan sampai mendekati file sensitif, kredensial kata sandi, dan aset kripto bernilai tinggi.
Saati ini bidang agen AI sedang berada di ambang ledakan, kecepatan ekspansi ekosistem tidak boleh mengalahkan langkah pembangunan keamanan. Pemeriksaan dan pemindaian hanya dapat menghentikan serangan berbahaya tingkat dasar, tetapi tidak akan pernah menjadi batas keamanan untuk agen AI berizin tinggi. Hanya dengan beralih dari "mengejar deteksi sempurna" ke "mengendalikan kerusakan dengan asumsi risiko ada", menetapkan batas isolasi dari dasar saat runtime,才能真正 menjaga底线 keamanan agen AI, membuat perubahan teknologi ini berjalan dengan stabil dan jauh.
