Jika Anda telah menggunakan OpenClaw, alat AI agentik yang sangat populer dan menggemparkan komunitas pengembang, sebaiknya Anda memperbaruinya jika belum melakukanya.
OpenClaw, seperti pernah kami laporkan, memiliki masalah keamanan yang telah dikenal luas. Sejak awal, pencipta OpenClaw Peter Steinberger telah memperingatkan calon pengguna di GitHub bahwa “Tidak ada konfigurasi yang ‘sempurna amannya’.”
Pengguna dapat memberikan OpenClaw kendali atas perangkat mereka serta akses ke aplikasi spesifik, file lokal, dan akun yang telah login, memungkinkannya bertindak atas nama mereka dengan izin penuh. Itulah inti dari asisten AI agentik ini. Itu juga sebabnya, seperti telah diperingatkan peneliti keamanan selama berbulan-bulan, alat ini menjadi risiko signifikan jika terjadi masalah.
Kini, bisa ditebak, masalah itu terjadi.
Menurut Ars Technica, pengembang OpenClaw telah memperbaiki tiga kerentanan berbahaya tinggi awal pekan lalu, yang paling serius — CVE-2026-33579 — mendapat skor 9.8 dari 10 pada skala keparahan. Peneliti dari pembuat aplikasi AI Blink menemukan bahwa celah ini memungkinkan siapa pun dengan tingkat akses terendah untuk meningkatkan diri mereka secara diam-diam menjadi administrator penuh.
Mekanismenya, seperti dijelaskan Blink, sederhana. Sistem pemasangan perangkat OpenClaw gagal memverifikasi apakah orang yang menyetujui permintaan akses benar-benar memiliki wewenang untuk memberikan izin tersebut. Jadi, penyerang dengan hak istimewa pemasangan dasar bisa meminta akses admin dan menyetujui permintaannya sendiri. Secara fungsional, pintunya terbuka dari dalam.
Berapa banyak pengguna yang rentan terhadap pengambilalihan? Peneliti Blink melaporkan bahwa sekitar 63 persen instans OpenClaw yang terhubung internet berjalan tanpa autentikasi sama sekali. Pada penerapan tersebut, penyerang bahkan tidak memerlukan akun tingkat rendah untuk memulai — mereka bisa langsung masuk dan meningkatkan diri hingga menjadi admin.
Ars Technica mencatat bahwa tambalan dirilis pada Minggu, 5 April, tetapi daftar CVE resmi baru muncul pada Selasa. Kesenjangan dua hari itu memberi keuntungan awal bagi penyerang yang memperhatikan, sebelum kebanyakan pengguna mengetahui untuk memperbarui.
Blink mencatat bahwa CVE-2026-33579 adalah kerentanan keenam terkait pemasangan yang diungkap dalam OpenClaw dalam enam minggu — semuanya variasi dari kelemahan desain dasar yang sama dalam cara alat ini menangani izin. Setiap tambalan hanya menangani eksploitasi spesifik secara terpisah, bukan merancang ulang sistem otorisasi yang bertanggung jawab atas semua kerentanan tersebut.
Jika Anda menjalankan OpenClaw, segera perbarui ke versi 2026.3.28. Jika Anda menjalankan versi lawas dalam sepekan terakhir, Ars Technica dan Blink sama-sama merekomendasikan untuk memperlakukan instans Anda sebagai berpotensi disusupi dan mengaudit log aktivitas Anda untuk persetujuan perangkat yang mencurigakan.
Selain itu, mungkin perlu ditanyakan apakah peningkatan produktivitas dari alat sekuat ini sebanding dengan risiko keamanan yang menyertainya.
Mashable Light Speed