URGENT: 12 Celah Keamanan OpenClaw yang Wajib Lo Audit Sekarang — Satu Kesalahan Konfigurasi Bisa Buka Akses Penuh ke Seluruh Sistem

Kamu pikir AI agent yang berjalan di infrastruktur kamu sudah aman hanya karena sudah terpasang dan berjalan normal? Itulah asumsi yang sedang dieksploitasi oleh penyerang yang memahami bahwa celah terbesar bukan ada di kode, melainkan di konfigurasi yang tidak pernah diaudit. OpenClaw Security Assessment Checklist yang baru dirilis mengidentifikasi 12 area kontrol keamanan kritis yang harus diverifikasi di setiap deployment, mulai dari versi runtime yang rentan CVE aktif, hingga credential file yang terbuka tanpa enkripsi. Di artikel ini, kamu bakal nemuin apa saja yang harus segera dicek, mengapa setiap celah ini berbahaya, dan langkah konkret untuk menutupnya sebelum menjadi insiden.

Audit Pertama yang Wajib Dijalankan Sebelum Apapun

Langkah pertama yang tidak bisa dilewati adalah menjalankan perintah openclaw security audit --deep. Flag --deep bukan opsional — ia spesifik diperlukan untuk mendeteksi dua kategori ancaman yang tidak terlihat oleh audit standar: exposed browser control endpoints dan symlink attacks. Tanpa flag ini, audit berjalan dalam mode superfisial yang bisa memberi false sense of security.

Bersamaan dengan audit otomatis, inventarisasi setiap agent yang berjalan di jaringan kamu. Setiap instance OpenClaw harus terdaftar dan memiliki "business owner" manusia yang bertanggung jawab atas operasinya. Instance yang tidak terdaftar adalah blind spot yang paling sering menjadi titik masuk dalam insiden keamanan AI agent. Identifikasi juga semua channel input yang terhubung — Slack, Discord, WhatsApp, Email — dan nonaktifkan eksekusi dari channel yang tidak dipercaya atau berisiko tinggi.

Node.js Versi Lama: Dua CVE Aktif yang Sedang Menunggu Dieksploitasi

Verifikasi versi Node.js adalah kontrol yang tidak ada toleransinya: harus v22.12.0 atau lebih baru. Versi lebih lama saat ini rentan terhadap dua CVE yang sudah terdokumentasi — CVE-2025-59466 yang memungkinkan serangan Denial of Service, dan CVE-2026-21636 yang jauh lebih serius karena memungkinkan sandbox escape. Sandbox escape berarti penyerang yang berhasil mengeksploitasi kerentanan ini bisa keluar dari lingkungan terisolasi dan mengakses host system secara langsung.

Network binding adalah kontrol berikutnya yang kritikal. Konfigurasi gateway.host harus disetel ke 127.0.0.1 — loopback address yang hanya bisa diakses dari mesin itu sendiri. Penggunaan 0.0.0.0 membuka service ke seluruh interface jaringan dan tidak boleh dilakukan kecuali melalui secure tunnel seperti Tailscale. Selain itu, mDNS broadcasting harus dinonaktifkan dengan menyetel mdns.enabled: false atau environment variable OPENCLAW_DISABLE_BONJOUR=1 — tanpa ini, hostname dan install path OpenClaw kamu sedang disiarkan ke seluruh jaringan lokal secara aktif.

Credential dan Secrets: Di Sinilah Sebagian Besar Insiden Dimulai

Permission pada credential file harus dicek dengan perintah ls -la ~/.openclaw/. Direktori harus memiliki permission drwx------ (700) — artinya hanya owner yang bisa membaca, menulis, dan mengeksekusi. File kredensial yang bisa dibaca oleh user lain di sistem yang sama adalah vektor kebocoran yang sering diremehkan karena tidak terlihat seperti serangan dari luar.

Untuk manajemen secrets jangka panjang, kredensial tidak boleh disimpan dalam plaintext. Integrasi dengan secrets manager seperti Vault atau Secret Manager adalah standar yang harus dipenuhi. Checklist ini secara eksplisit menyatakan: asumsikan bahwa setiap secret yang pernah tersimpan dalam plaintext selama periode miskonfigurasi harus dianggap sudah dikompromikan — rotasi semua API key, SSH key, dan password adalah tindakan yang tidak bisa ditunda.

Access Control: Least Privilege Bukan Sekadar Best Practice

Semua connector harus dikonfigurasi dengan akses read-only sebagai default. Write access hanya diberikan kepada tool spesifik yang sudah diverifikasi kebutuhannya. OAuth token yang terhubung ke Google, Slack, dan Discord harus diaudit secara berkala — revoke semua token OpenClaw yang sudah tidak aktif digunakan karena token yang terlupakan adalah akses yang tidak termonitor.

Untuk deployment yang menggunakan group chat, requireMention: true harus diaktifkan agar agent tidak memproses setiap pesan yang masuk di ruangan. Session isolation juga wajib dikonfigurasi dengan menyetel session.dmScope ke per-channel-peer untuk mencegah satu user bisa melihat riwayat chat user lain. DM pairing policy harus disetel ke mode pairing sehingga hanya pengguna yang sudah melalui approval manual yang bisa berinteraksi dengan agent.

Sandboxing dan Human-in-the-Loop: Dua Kontrol yang Tidak Boleh Dimatikan

Sandboxing harus diaktifkan dengan menyetel agents.defaults.sandbox.mode ke "all" — ini memaksa semua command dieksekusi di dalam container Docker, mencegah AI agent merusak host OS secara langsung. Jika menggunakan Docker, hardening tambahan diperlukan: flag --cap-drop ALL, --security-opt no-new-privileges, dan --user 1000:1000 untuk mencegah container escape.

Human-in-the-loop adalah kontrol yang paling sering dinonaktifkan dengan alasan efisiensi dan paling sering disesali setelahnya. requireApproval: true harus diaktifkan untuk semua tool berisiko tinggi seperti bash atau filesystem. Tidak ada alasan operasional yang cukup kuat untuk membiarkan AI agent mengeksekusi perintah sistem tanpa approval manusia di lingkungan produksi.

Skills Audit dan CVE Browser: Dua Ancaman yang Sering Terlewat

Direktori ~/.openclaw/skills/ harus diaudit secara manual. Hapus setiap skill dengan nama yang mencurigakan atau typosquatted — pola seperti clawhubb atau cllawhub adalah tanda klasik plugin berbahaya yang menyamar sebagai plugin resmi. Skill yang meminta "prerequisite scripts" sebelum bisa diinstal juga harus langsung dihapus tanpa ditelaah lebih jauh.

Satu CVE spesifik yang perlu perhatian segera adalah CVE-2026-25253 yang terkait Cross-Site WebSocket Hijacking: selalu tutup tab browser OpenClaw UI ketika tidak sedang aktif digunakan. Tab yang dibiarkan terbuka di background adalah permukaan serangan yang aktif untuk eksploitasi jenis ini.

Kesimpulan: 12 Kontrol Ini Bukan Checklist Administratif — Ini Garis Pertahanan Nyata

OpenClaw Security Assessment Checklist ini bukan dokumen compliance yang dibuat untuk diarsipkan. Setiap dari 12 kontrol yang didefinisikan — dari versi runtime, network binding, credential permission, sandbox mode, hingga OAuth token audit — adalah lapisan pertahanan yang masing-masing menutup satu vektor serangan nyata. Satu kontrol yang terlewat sudah cukup untuk membuka jalur yang tidak seharusnya ada. Jalankan audit sekarang, sebelum ada pihak lain yang menemukan celahnya lebih dulu.