Pengembang alat AI populer OpenClaw merilis perbaikan untuk tiga kerentanan tingkat tinggi, termasuk satu celah yang memungkinkan penyerang dengan hak akses pemasangan dasar untuk mendapatkan kontrol administratif penuh secara diam-diam. Celah tersebut, yang dilacak sebagai CVE-2026-33579 dan diberi tingkat keparahan hingga 9,8 dari 10, telah memicu kekhawatiran di kalangan pakar keamanan. Ribuan instansi yang terpapar mungkin telah disusupi tanpa disadari.
OpenClaw, sebuah alat agen AI yang diluncurkan pada bulan November dan telah mengumpulkan 347.000 bintang di GitHub, memungkinkan pengguna untuk mengotomatisasi tugas-tugas seperti pengorganisasian file, riset, dan belanja daring dengan memberikan akses luas ke komputer, aplikasi seperti Telegram, Discord, dan Slack, file jaringan, serta akun pengguna. Awal minggu ini, para pengembangnya mengeluarkan perbaikan keamanan untuk mengatasi tiga masalah kritis di tengah peringatan yang terus berlanjut dari praktisi keamanan tentang risiko sistem AI otonom yang mengendalikan sumber daya sensitif. Seorang eksekutif Meta awal tahun ini melarang alat tersebut di laptop kerja, dengan alasan ketidakpastiannya sebagai risiko pelanggaran, dengan manajer lain mengeluarkan arahan serupa. > “Dampak praktisnya sangat parah,” tulis peneliti dari pembangun aplikasi AI Blink. “Seorang penyerang yang sudah memiliki lingkup operator.pairing—izin bermakna terendah dalam penyebaran OpenClaw—dapat secara diam-diam menyetujui permintaan pemasangan perangkat yang meminta lingkup operator.admin. Setelah persetujuan itu berhasil, perangkat penyerang memiliki akses administratif penuh ke instansi OpenClaw tersebut. Tidak diperlukan eksploitasi sekunder. Tidak diperlukan interaksi pengguna selain langkah pemasangan awal.” CVE-2026-33579 berasal dari kelemahan dalam fungsi pemasangan perangkat, yang gagal memverifikasi izin pihak yang menyetujui, sehingga memungkinkan permintaan yang dibuat dengan baik untuk meningkatkan hak akses tanpa kendali. Blink mencatat bahwa 63 persen dari 135.000 instansi OpenClaw yang terpapar internet yang dipindai awal tahun ini berjalan tanpa autentikasi, memungkinkan pengunjung jaringan mana pun untuk mendapatkan akses pemasangan awal secara bebas. Perbaikan tiba pada hari Minggu, namun daftar CVE resmi baru muncul pada hari Selasa, yang berpotensi memberikan jendela eksploitasi selama dua hari bagi penyerang. Bagi organisasi yang menggunakan OpenClaw di seluruh perusahaan, perangkat admin yang disusupi dapat mengakses semua data yang terhubung, mencuri kredensial, menjalankan perintah arbitrer, dan beralih ke layanan lain, yang berujung pada pengambilalihan instansi secara penuh. Para ahli mendesak pengguna untuk meninjau log pemasangan baru-baru ini dan menilai kembali risiko dibandingkan manfaat dari alat tersebut.
