Waduh, ini peringatan keras buat siapa pun yang lagi bereksperimen pakai AI asisten! Clawdbot, yang lagi viral karena kemampuannya yang canggih, ternyata punya celah keamanan yang cukup ngeri kalau nggak dikonfigurasi dengan benar.
Kenapa Clawdbot Jadi Sorotan Peneliti Keamanan?
Masalah utamanya adalah “pintu yang nggak dikunci”. Peneliti menemukan banyak pengguna Clawdbot yang server kontrolnya bisa diakses siapa saja di internet tanpa perlu password (autentikasi).
“Clawdbot Control” yang Terbuka Lebar
- Gampang Dicari: Cuma butuh beberapa detik di alat pemindai internet (seperti Shodan) dengan kata kunci “Clawdbot Control”, siapa pun bisa menemukan ratusan server yang terekspos.
- Salah Setting: Masalah ini biasanya muncul kalau pengguna memakai reverse proxy tapi konfigurasinya nggak pas.
- Harta Karun buat Hacker: Di server yang terbuka itu, semua data sensitif seperti API keys, bot tokens, hingga riwayat chat pribadi bisa diintip dan diambil begitu saja.
Baca Juga Injective ($INJ) Bakal Makin Langka Lewat Supply Squeeze
Bisa Menguras Kripto Wallet dalam 5 Menit
Ini poin yang paling gila. Karena Clawdbot punya akses penuh ke sistem komputer kamu (bisa baca file dan jalankan perintah), ada risiko Prompt Injection:
- Peretas bisa menipu AI lewat perintah chat untuk mencari file Private Key di komputer kamu.
- Hasilnya? Aset kripto bisa dikuras hanya dalam hitungan menit.
3Akses Shell yang “Pedas”
Berbeda dengan AI biasa, Clawdbot punya akses ke shell (perintah sistem). FAQ resminya bahkan mengakui kalau fitur ini sangat berisiko: “Menjalankan AI agent dengan shell access adalah sesuatu yang… pedas. Tidak ada konfigurasi yang benar-benar aman.”
Kalau kamu atau rekanmu ada yang menjalankan infrastruktur AI seperti ini, artikel tersebut menyarankan:
- Audit Sekarang Juga: Cek apakah server kamu benar-benar terkunci atau malah terekspos ke internet publik.
- Gunakan IP Whitelisting: Pastikan port yang terbuka cuma bisa diakses oleh alamat IP yang kamu percaya saja.
- Pahami Risikonya: Ingat analogi dari peneliti Jamieson O’Reilly: “Pelayan itu sangat pintar. Pastikan saja dia ingat untuk mengunci pintu.”
Intinya, secanggih apa pun AI-nya, kalau kita lalai soal keamanan dasarnya, data pribadi dan aset digital kita jadi taruhannya.