ClawJacked: Celah Berbahaya yang Buka Akses Situs Jahat ke Agen AI OpenClaw Lokal

OpenClaw, platform AI yang banyak digunakan di lingkungan enterprise, baru-baru ini menambal celah keamanan serius bernama ClawJacked yang memungkinkan situs web jahat menguasai agen AI lokal melalui koneksi WebSocket. Kerentanan ini dapat dieksploitasi tanpa perlu plugin tambahan atau ekstensi pengguna, cukup dengan menjalankan OpenClaw Gateway standar yang berjalan di localhost dengan proteksi password.

Bagaimana ClawJacked Bekerja? Mekanisme Serangan WebSocket Lokal

Menurut laporan dari Oasis Security, kerentanan ini terletak di inti sistem OpenClaw, tepatnya pada gateway yang membuka WebSocket server lokal. Model ancaman yang diasumsikan adalah ketika pengembang menjalankan OpenClaw di laptopnya, gateway yang berjalan di localhost dan dilindungi password dapat diserang jika pengembang mengunjungi situs web berbahaya.

1. JavaScript berbahaya pada situs membuka koneksi WebSocket ke localhost di port OpenClaw gateway.
2. Script tersebut melakukan brute force password gateway dengan memanfaatkan tidak adanya mekanisme pembatasan rate-limiting.
3. Setelah autentikasi berhasil dengan hak admin, script secara diam-diam mendaftar sebagai perangkat tepercaya yang secara otomatis disetujui tanpa konfirmasi pengguna.
4. Penyerang pun mendapatkan kontrol penuh atas agen AI, dapat berinteraksi, mengambil konfigurasi, menelaah node yang terkoneksi, hingga membaca log aplikasi.

"Setiap situs yang Anda kunjungi bisa membuka koneksi ke localhost Anda. Browser tidak memblokir koneksi cross-origin ini, sehingga JavaScript di halaman tersebut dapat tersembunyi membuka koneksi ke OpenClaw gateway lokal tanpa diketahui pengguna," jelas Oasis Security.

Relaksasi mekanisme keamanan pada koneksi lokal — seperti persetujuan otomatis perangkat baru tanpa konfirmasi — menjadi titik lemah besar yang dimanfaatkan dalam serangan ini.

Upaya Perbaikan dan Imbauan Pengguna OpenClaw

Setelah pengungkapan kerentanan ini secara bertanggung jawab, OpenClaw merilis patch dalam waktu kurang dari 24 jam melalui versi 2026.2.25 pada 26 Februari 2026. Pengguna disarankan untuk segera memperbarui aplikasi, melakukan audit akses pada agen AI secara berkala, dan menerapkan kontrol tata kelola yang ketat terhadap identitas non-manusia (agentic identities).

Kerentanan ini menambah daftar masalah keamanan OpenClaw yang makin mendapat sorotan, khususnya karena agen AI memiliki akses ekstensif ke sistem dan dapat menjalankan tugas otomatis di berbagai aplikasi enterprise, sehingga risiko dampak serangan sangat besar.

Ancaman Lain: Log Poisoning dan Kerentanan Berganda

Selain ClawJacked, OpenClaw juga menambal celah log poisoning yang memungkinkan penyerang menyisipkan konten berbahaya ke file log melalui permintaan WebSocket pada instance publik TCP port 18789. Isi log ini dibaca agen untuk troubleshooting, sehingga berpotensi menjadi vektor prompt injection tidak langsung yang bisa memanipulasi perilaku agen.

Patch untuk isu log poisoning dirilis di versi 2026.2.13 pada 14 Februari 2026.

Selain itu, beberapa CVE dengan tingkat keparahan sedang hingga tinggi juga telah ditangani dalam versi-versi sebelumnya, mencakup risiko remote code execution, injeksi perintah, SSRF, bypass autentikasi, dan path traversal.

Bahaya Malware dan Penipuan di ClawHub

Risiko keamanan bertambah dengan ditemukannya 71 skill berbahaya di ClawHub, marketplace resmi untuk mendownload skill OpenClaw. Beberapa skill ini menyamar sebagai alat kripto legit namun menyisipkan fungsi tersembunyi untuk mengalihkan dana ke dompet penyerang.

Kelompok peneliti menemukan adanya kampanye malware yang menggunakan skill untuk menyebarkan varian baru Atomic Stealer, pencuri data macOS yang dikembangkan oleh kelompok cybercrime bernama Cookie Spider. Penyerang juga memanfaatkan komentar di halaman skill untuk mengelabui pengguna menjalankan perintah berbahaya yang mengunduh malware.

Salah satu skema penipuan melibatkan skill bernama bob-p2p-beta dan runware yang melakukan serangan rantai antar agen AI di ekosistem, mengubah AI menjadi alat penipuan kripto canggih yang menyimpan kunci dompet secara plaintext dan membeli token tak bernilai untuk menguras dana.

Imbauan Keamanan dan Rekomendasi Microsoft

Microsoft juga mengeluarkan peringatan resmi terkait risiko OpenClaw. Karena karakteristiknya menjalankan kode yang tidak sepenuhnya dipercaya dengan kredensial persisten, OpenClaw tidak cocok dijalankan di workstation biasa baik personal maupun enterprise.

Mereka menyarankan agar OpenClaw hanya dijalankan di lingkungan terisolasi seperti mesin virtual khusus atau perangkat fisik terpisah, menggunakan kredensial terdedikasi tanpa hak istimewa, akses data non-sensitif, dengan monitoring dan rencana rebuild berkelanjutan.

Analisis Redaksi

Menurut pandangan redaksi, kerentanan ClawJacked dan berbagai masalah keamanan lain di OpenClaw menandakan bahwa ekosistem AI agent yang makin populer ini masih berada pada tahap rentan dalam hal keamanan. Koneksi lokal yang dianggap aman ternyata menyimpan risiko besar, apalagi jika AI agent tersebut memiliki akses luas ke data dan sistem perusahaan.

Lebih jauh, eksploitasi melalui marketplace skill seperti ClawHub menunjukkan bagaimana rantai pasok perangkat lunak AI agent bisa dimanipulasi untuk serangan berlapis, memadukan teknik social engineering dan eksploitasi teknis. Ini bukan hanya soal celah teknis, tapi juga pola serangan yang mengandalkan kepercayaan berlebihan antar agen dan pengguna.

Ke depan, pengguna dan organisasi harus meningkatkan kesadaran keamanan AI agent dengan melakukan audit ketat terhadap skill yang diinstal, pembaruan rutin, dan penerapan isolasi lingkungan eksekusi. Kewaspadaan terhadap penyalahgunaan AI di lingkungan enterprise harus menjadi prioritas utama mengingat potensi dampaknya yang luas.

Kesimpulan dan Langkah Selanjutnya

Celah ClawJacked membuka babak baru dalam ancaman keamanan AI lokal yang selama ini kurang disadari. Pengguna OpenClaw harus langsung memperbarui sistem mereka, mengaudit akses, dan berhati-hati memilih skill yang diunduh dari ClawHub.

Dengan semakin kompleksnya serangan yang memanfaatkan AI agent, kolaborasi komunitas keamanan, vendor, dan pengguna sangat penting untuk memperkuat pertahanan. Pantau terus update keamanan dan terapkan praktik terbaik untuk melindungi data serta infrastruktur dari ancaman yang terus berkembang.