Sebuah kerentanan keamanan dengan tingkat keparahan tinggi telah ditemukan dalam platform agen kecerdasan buatan OpenClaw, membuka kemungkinan bagi situs web berbahaya untuk mengambil alih kendali agen AI yang berjalan secara lokal di komputer pengembang. Kerentanan yang diberi nama ClawJacked ini diungkap oleh perusahaan keamanan siber Oasis Security dan telah diperbaiki melalui pembaruan yang dirilis pada 26 Februari 2026. Meski patch telah tersedia, temuan ini menyoroti risiko struktural yang melekat pada ekosistem agen AI modern yang memiliki akses luas ke sistem lokal dan layanan terintegrasi.
Menurut laporan teknis yang dipublikasikan minggu ini, kerentanan tersebut tidak bergantung pada plugin pihak ketiga, ekstensi, atau konfigurasi khusus. Masalah ini berada langsung di inti sistem gateway OpenClaw, yang berjalan sesuai dokumentasi resmi. Hal ini membuat vektor serangan menjadi lebih signifikan, karena bahkan instalasi standar tanpa modifikasi pun dapat menjadi target. Serangan memanfaatkan gateway OpenClaw yang berjalan secara lokal, yang menggunakan server WebSocket terikat pada localhost dan dilindungi oleh autentikasi berbasis kata sandi.
Skenario serangan dimulai ketika seorang pengembang, yang memiliki OpenClaw aktif di laptop mereka, mengunjungi situs web berbahaya. Situs tersebut memuat JavaScript yang secara diam-diam mencoba membuka koneksi WebSocket ke gateway OpenClaw lokal. Tidak seperti permintaan HTTP biasa, browser tidak memblokir koneksi WebSocket lintas origin ke localhost. Akibatnya, skrip yang berjalan di halaman web berbahaya dapat berkomunikasi langsung dengan layanan lokal tanpa terlihat oleh pengguna.
Kerentanan utama muncul karena gateway OpenClaw tidak memiliki mekanisme rate limiting yang memadai pada proses autentikasi. Hal ini memungkinkan skrip berbahaya melakukan brute force terhadap kata sandi gateway secara otomatis. Setelah autentikasi berhasil, skrip tersebut dapat mendaftarkan dirinya sebagai perangkat tepercaya. Gateway OpenClaw secara otomatis menyetujui perangkat baru yang terhubung melalui localhost tanpa memerlukan konfirmasi pengguna, menciptakan celah kepercayaan yang dapat dieksploitasi.
Setelah memperoleh akses administratif, penyerang dapat sepenuhnya mengendalikan agen AI. Akses ini mencakup kemampuan membaca log aplikasi, mengekstrak konfigurasi sistem, mengidentifikasi node yang terhubung, serta berinteraksi langsung dengan agen untuk menjalankan perintah tertentu. Karena agen AI sering memiliki akses ke berbagai sistem internal, dampak potensial dari kompromi ini jauh melampaui sekadar akses lokal.
Kerentanan ClawJacked diperbaiki dalam versi OpenClaw 2026.2.25, yang dirilis kurang dari 24 jam setelah pengungkapan yang bertanggung jawab. Pengguna dianjurkan segera memperbarui sistem mereka untuk menghindari eksploitasi. Selain itu, praktik audit berkala terhadap akses agen AI dan penerapan kontrol identitas non-manusia menjadi semakin penting dalam konteks ini.
Temuan ini muncul di tengah meningkatnya pengawasan keamanan terhadap OpenClaw dan ekosistem agen AI secara umum. Agen AI sering diberi akses ke berbagai layanan perusahaan, termasuk sistem komunikasi, alat pengembangan, dan infrastruktur cloud. Perusahaan keamanan seperti Bitsight dan NeuralTrust sebelumnya melaporkan bahwa instance OpenClaw yang terhubung langsung ke internet memperluas permukaan serangan secara signifikan. Integrasi dengan layanan tambahan dapat meningkatkan dampak kompromi, memungkinkan penyerang menggunakan agen sebagai titik pivot untuk menyerang sistem lain.
Selain ClawJacked, OpenClaw juga memperbaiki kerentanan lain yang memungkinkan manipulasi log internal. Kerentanan ini memungkinkan penyerang mengirimkan konten berbahaya melalui permintaan WebSocket ke instance OpenClaw yang terekspos publik. Karena agen AI membaca log-nya sendiri untuk tujuan troubleshooting dan pengambilan keputusan, teks berbahaya yang disuntikkan ke log dapat mempengaruhi perilaku agen.
Menurut analisis dari Eye Security, serangan semacam ini tidak selalu menghasilkan pengambilalihan instan. Namun, dampaknya tetap signifikan karena dapat memanipulasi proses reasoning agen, mempengaruhi rekomendasi, atau menyebabkan agen mengungkapkan informasi sensitif secara tidak sengaja. Kerentanan log poisoning ini telah diperbaiki dalam versi 2026.2.13 yang dirilis pada 14 Februari 2026.
Masalah keamanan tidak berhenti di sana. Dalam beberapa minggu terakhir, sejumlah kerentanan lain dengan tingkat keparahan sedang hingga tinggi juga ditemukan dalam OpenClaw, termasuk remote code execution, command injection, server-side request forgery, bypass autentikasi, dan path traversal. Kerentanan tersebut telah diperbaiki melalui beberapa pembaruan bertahap antara Januari dan Februari 2026.
Menurut Endor Labs, meningkatnya adopsi agen AI di lingkungan perusahaan memerlukan pendekatan keamanan baru yang mempertimbangkan karakteristik unik sistem berbasis AI. Tidak seperti aplikasi tradisional, agen AI memiliki kemampuan pengambilan keputusan dan akses lintas sistem yang membuat dampak kompromi menjadi lebih luas dan kompleks.
Selain kerentanan inti, ekosistem OpenClaw juga menghadapi ancaman melalui marketplace keterampilan bernama ClawHub, tempat pengguna dapat mengunduh dan menginstal modul tambahan untuk memperluas kemampuan agen. Penelitian terbaru dari Trend Micro menemukan bahwa skill berbahaya telah digunakan untuk menyebarkan varian baru malware Atomic Stealer yang menargetkan pengguna macOS. Skill tersebut tampak sah di permukaan, tetapi berisi instruksi tersembunyi yang mengunduh payload berbahaya dari server eksternal.
Peneliti juga menemukan kampanye distribusi malware lain yang memanfaatkan rekayasa sosial. Pelaku meninggalkan komentar pada halaman skill sah, mendorong pengguna menjalankan perintah tertentu di terminal jika skill tidak berfungsi. Perintah tersebut sebenarnya dirancang untuk mengunduh malware dari server yang dikendalikan penyerang.
Analisis lebih lanjut oleh perusahaan keamanan AI Straiker mengungkapkan bahwa dari 3.505 skill yang dianalisis di ClawHub, setidaknya 71 di antaranya bersifat berbahaya. Beberapa skill menyamar sebagai alat cryptocurrency sah tetapi diam-diam mengalihkan dana ke dompet milik penyerang. Skill lain merupakan bagian dari skema penipuan berlapis yang memanfaatkan interaksi antar agen AI untuk menyebarkan modul berbahaya dan mencuri kunci privat dompet kripto.
Ancaman ini menyoroti risiko supply chain dalam ekosistem agen AI. Tidak seperti aplikasi tradisional, agen AI dapat menginstal dan menjalankan modul tambahan secara otomatis berdasarkan instruksi atau konteks tertentu. Hal ini menciptakan peluang bagi penyerang untuk menyisipkan kode berbahaya yang tampak sah.
Risiko keamanan OpenClaw juga menarik perhatian Microsoft, yang mengeluarkan peringatan resmi terkait deployment agen AI self-hosted. Tim Microsoft Defender Security Research Team menyatakan bahwa OpenClaw harus diperlakukan sebagai lingkungan eksekusi kode yang tidak sepenuhnya tepercaya. Jika agen AI dapat dimanipulasi untuk menjalankan kode berbahaya, hal ini dapat menyebabkan eksposur kredensial, modifikasi memori, atau kompromi sistem host.
Microsoft merekomendasikan agar OpenClaw hanya dijalankan dalam lingkungan terisolasi seperti mesin virtual khusus atau sistem fisik terpisah. Selain itu, agen harus menggunakan kredensial dengan hak akses minimal dan hanya memiliki akses ke data non-sensitif. Pendekatan ini bertujuan membatasi dampak jika terjadi kompromi.
Rangkaian kerentanan dan serangan yang menargetkan OpenClaw mencerminkan realitas baru dalam lanskap keamanan siber. Agen AI bukan sekadar aplikasi biasa, tetapi entitas otonom dengan kemampuan interaksi luas terhadap sistem lain. Ketika agen semacam ini dikompromikan, dampaknya dapat meluas dengan cepat, terutama di lingkungan perusahaan yang terintegrasi.
Dengan semakin luasnya adopsi agen AI, keamanan runtime, integritas supply chain, dan kontrol akses menjadi faktor kritis yang tidak dapat diabaikan. Patch cepat yang dirilis OpenClaw menunjukkan respons yang proaktif, tetapi insiden ini juga menjadi pengingat bahwa teknologi agen AI memperkenalkan permukaan serangan baru yang memerlukan pendekatan keamanan yang lebih ketat dan berkelanjutan.