Asisten AI Viral Clawdbot Berisiko Bocorkan Data Kripto, Pesan Pribadi, dan Kredensial

Waduh, ini peringatan keras buat siapa pun yang lagi bereksperimen pakai AI asisten! Clawdbot, yang lagi viral karena kemampuannya yang canggih, ternyata punya celah keamanan yang cukup ngeri kalau nggak dikonfigurasi dengan benar.

🚨SlowMist TI Alert🚨

Clawdbot gateway exposure identified: hundreds of API keys and private chat logs are at risk. Multiple unauthenticated instances are publicly accessible, and several code flaws may lead to credential theft and even remote code execution (RCE).

We strongly… https://t.co/j2ERoWPFnh
— SlowMist (@SlowMist_Team) January 27, 2026

Kenapa Clawdbot Jadi Sorotan Peneliti Keamanan?

Masalah utamanya adalah “pintu yang nggak dikunci”. Peneliti menemukan banyak pengguna Clawdbot yang server kontrolnya bisa diakses siapa saja di internet tanpa perlu password (autentikasi).

“Clawdbot Control” yang Terbuka Lebar

Gampang Dicari: Cuma butuh beberapa detik di alat pemindai internet (seperti Shodan) dengan kata kunci “Clawdbot Control”, siapa pun bisa menemukan ratusan server yang terekspos.
Salah Setting: Masalah ini biasanya muncul kalau pengguna memakai reverse proxy tapi konfigurasinya nggak pas.
Harta Karun buat Hacker: Di server yang terbuka itu, semua data sensitif seperti API keys, bot tokens, hingga riwayat chat pribadi bisa diintip dan diambil begitu saja.

Bisa Menguras Kripto Wallet dalam 5 Menit

Ini poin yang paling gila. Karena Clawdbot punya akses penuh ke sistem komputer kamu (bisa baca file dan jalankan perintah), ada risiko Prompt Injection:

Peretas bisa menipu AI lewat perintah chat untuk mencari file Private Key di komputer kamu.
Hasilnya? Aset kripto bisa dikuras hanya dalam hitungan menit.

Drama in one screenshot:
1) Sending Clawdbot email with prompt injection
2) Asking Clawdbot to check e-mail
3) Receiving the private key from the hacked machine
… took 5 minutes
That's why we build non-probabilistic agentic security in Archestra: https://t.co/ukhV6Z7tl1 pic.twitter.com/2d6OP7mNnv
— Matvey Kukuy (@Mkukkk) January 27, 2026

3Akses Shell yang “Pedas”

Berbeda dengan AI biasa, Clawdbot punya akses ke shell (perintah sistem). FAQ resminya bahkan mengakui kalau fitur ini sangat berisiko: “Menjalankan AI agent dengan shell access adalah sesuatu yang… pedas. Tidak ada konfigurasi yang benar-benar aman.”

Kalau kamu atau rekanmu ada yang menjalankan infrastruktur AI seperti ini, artikel tersebut menyarankan:

Audit Sekarang Juga: Cek apakah server kamu benar-benar terkunci atau malah terekspos ke internet publik.
Gunakan IP Whitelisting: Pastikan port yang terbuka cuma bisa diakses oleh alamat IP yang kamu percaya saja.
Pahami Risikonya: Ingat analogi dari peneliti Jamieson O’Reilly: “Pelayan itu sangat pintar. Pastikan saja dia ingat untuk mengunci pintu.”

Intinya, secanggih apa pun AI-nya, kalau kita lalai soal keamanan dasarnya, data pribadi dan aset digital kita jadi taruhannya.

Tag: Hack