Kekhawatiran Keamanan Clawdbot: Peringatan API dari SlowMist, Risiko Kebocoran Pesan Pribadi, Brave Usulkan 7 Cara Mengurangi Risiko

爆紅 AI Asisten Clawdbot Diberi Peringatan oleh SlowMist Terdapat Celah Keamanan Serius, Berpotensi Bocorkan API Key dan Percakapan Rahasia. Ahli Merekomendasikan Isolasi Melalui Mode Sandbox, Perangkat Khusus, dan Saluran SSH untuk Mencegah Risiko Data Pribadi dan Aset dari Alat Proxy Otomatis.

Clawdbot Populer Setelah Viral, SlowMist Peringatkan Risiko Keamanan

Baru-baru ini di platform X (sebelumnya Twitter), alat AI open-source Clawdbot menjadi viral dan memicu gelombang di dunia teknologi, namun risiko keamanan yang tersembunyi juga menarik perhatian.

Perusahaan keamanan blockchain SlowMist hari ini (27/1) mengeluarkan pernyataan bahwa ada risiko eksposur serius pada gateway Clawdbot, ditemukan ratusan instance yang tidak terautentikasi dan terbuka di internet.

SlowMist menyatakan bahwa celah pada gateway Clawdbot dapat menyebabkan bocornya sejumlah besar informasi sensitif, termasuk API key Anthropic, token bot Telegram, kredensial OAuth Slack, serta percakapan pribadi pengguna selama berbulan-bulan.

Sumber gambar: SlowMistClawdbot Populer, SlowMist Peringatkan Risiko Keamanan

Peneliti keamanan dan hacker Jamieson O’Reilly menjelaskan secara lebih rinci bahwa penyebab utama risiko eksposur adalah konfigurasi yang salah. Ketika pengguna men-deploy Clawdbot di balik server proxy seperti Nginx atau Caddy, dan tidak mengatur opsi kepercayaan proxy dengan benar, sistem akan salah menganggap semua koneksi eksternal sebagai permintaan dari localhost, sehingga secara otomatis melewati proses verifikasi.

Selanjutnya, peretas dapat memanfaatkan celah ini untuk mendapatkan kontrol penuh tanpa perlu password, bahkan menjalankan kode sembarangan (RCE) pada container yang berjalan dengan hak root, dan jika komputer tempat instalasi Clawdbot menyimpan kunci privat cryptocurrency, kredensial keuangan, dan data rahasia lainnya, risiko pencurian aset atau kebocoran data pun meningkat.

Sumber gambar: Jamieson O’ReillyJamieson O’Reilly menunjukkan bahwa konfigurasi salah Clawdbot memungkinkan peretas memperoleh API key dan informasi lainnya

Brave Mengusulkan 7 Langkah Mengurangi Risiko Keamanan Clawdbot

Menanggapi kekhawatiran keamanan terkait Clawdbot, tim resmi Brave Browser juga mengeluarkan posting yang menyarankan pengguna untuk melakukan tujuh langkah berikut guna mengurangi risiko, perlu diingat bahwa mengurangi risiko tidak sama dengan menghilangkan sepenuhnya:

• Langkah 1: Gunakan perangkat khusus. Jangan jalankan Clawdbot di komputer utama yang menyimpan data penting. Disarankan menggunakan komputer lama atau server virtual khusus (VPS) untuk isolasi.
• Langkah 2: Gunakan akun khusus. Berikan akses hanya ke email sementara atau nomor telepon sementara, hindari penggunaan akun utama yang bisa disusupi.
• Langkah 3: Atur mekanisme otorisasi. Setel bot agar meminta konfirmasi pengguna sebelum menjalankan tindakan berisiko tinggi, untuk mencegah penghapusan file akibat perintah salah.
• Langkah 4: Aktifkan mode sandbox. Jalankan Clawdbot dalam wadah terisolasi untuk membatasi dampak dari link atau prompt berbahaya yang dapat merusak host.
• Langkah 5: Gunakan saluran SSH. Jangan expose gateway secara langsung ke internet publik, gunakan saluran SSH terenkripsi untuk komunikasi dengan Clawdbot.
• Langkah 6: Hindari menambahkan ke grup. Menambahkan bot ke grup chat meningkatkan risiko peretasan, disarankan hanya digunakan dalam percakapan satu lawan satu.
• Langkah 7: Lakukan audit rutin. Jalankan alat audit keamanan bawaan Clawdbot secara berkala untuk memeriksa celah konfigurasi dan segera perbaiki.

Saran dari Brave ini juga mirip dengan rekomendasi keamanan yang dibagikan oleh pengembang independen dalam artikel sebelumnya.

• Apa itu Clawdbot? Panduan Instalasi Mudah 5 Langkah: Panduan Keamanan Sebelum Menggunakan

Clawdbot Kuat Tapi Berisiko, Pendiri Microsoft Venture Juga Memberi Peringatan

Pendiri Microsoft Venture dan CEO Irreverent Labs Rahul Sood juga menulis peringatan bahwa, meskipun Clawdbot memiliki kemampuan yang luar biasa, mampu mengendalikan browser, membaca dan menulis file, serta mengelola komunikasi layaknya asisten Jarvis dari Iron Man, desain “hak penuh” ini justru menjadi sumber risiko.

Sumber gambar: Rahul Sood Pendiri Microsoft Venture, Peringatkan Risiko Keamanan Clawdbot

Ia menekankan bahwa Clawdbot bukan sekadar chatbot, melainkan agen otonom dengan akses sistem lengkap yang dapat menjalankan perintah apa pun di komputer pengguna.

Rahul Sood secara khusus menyoroti bahaya “injeksi prompt”, jika AI membaca dokumen berisi perintah tersembunyi (misalnya teks tersembunyi di PDF yang meminta menyalin SSH key), model mungkin tidak mampu membedakan antara konten dan instruksi, sehingga tanpa sadar menjalankan perintah dari penyerang.

Ia menambahkan bahwa pengembang Clawdbot sengaja tidak memasang pengaman keamanan untuk memenuhi kebutuhan pengguna tingkat lanjut, sehingga pengguna harus menanggung konsekuensinya sendiri.

Sood mengingatkan agar pengguna tidak menjalankan alat ini di perangkat yang menyimpan kredensial bank atau catatan medis secara sembarangan. Jika harus digunakan, pastikan melalui perangkat khusus dan saluran SSH untuk isolasi, dan jangan abaikan risiko besar di balik kemudahan alat ini.

Untuk risiko alat AI proxy, silakan baca:
Notion 3.0 AI Proxy Bocorkan Kerentanan Keamanan! Hanya PDF Bisa Curi Data Pribadi, Respon Darurat dari Pihak Resmi

Fenomena AI yang Tidak Terkendali! Lebih dari 80% Deployment Rentan Keamanan, Bagaimana Alibaba Cloud Melindungi AI dari AI?