Penulis makalah Transformer menciptakan kembali udang lobster, mengucapkan selamat tinggal pada kerentanan OpenClaw yang terbuka

Dari | Quantum Bit

Berapa banyak lobster yang berlari telanjang di internet?

AI cerdas membawa password dan API kunci Anda terbuka ke seluruh jaringan.

Penulis Transformer Illia Polosukhin tidak bisa lagi menahan. Ia memulai dari nol untuk membangun ulang lobster versi aman: IronClaw.

IronClaw saat ini sudah open source di GitHub, menyediakan paket instalasi untuk macOS, Linux, dan Windows, mendukung deployment lokal maupun cloud. Proyek ini masih dalam tahap iterasi cepat, file binary versi v0.15.0 sudah dapat diunduh.

Polosukhin (selanjutnya disebut Kak Pina) juga membuka thread di Reddit untuk menanggapi semuanya, dengan perhatian yang cukup tinggi.

01 OpenClaw Viral, tapi juga “Terbakar”

Kak Pina sendiri adalah pengguna awal OpenClaw, dan menyebut ini sebagai teknologi yang telah ia tunggu selama 20 tahun.

Ini telah mengubah cara saya berinteraksi dengan komputasi.

Namun, keamanan OpenClaw bisa dibilang bencana, dengan celah eksekusi kode jarak jauh satu klik, serangan injeksi prompt, pencurian password melalui skill berbahaya, semua celah ini terungkap satu per satu dalam ekosistem OpenClaw.

Lebih dari 25.000 contoh terbuka terekspos di internet tanpa kontrol keamanan yang memadai, langsung disebut oleh para ahli keamanan sebagai “kebakaran sampah keamanan (security dumpster fire)”.

Akar masalahnya terletak pada arsitekturnya sendiri.

Ketika pengguna menyerahkan Bearer Token email mereka ke OpenClaw, token tersebut langsung dikirim ke server penyedia LLM.

Kak Pina menunjukkan di Reddit apa artinya:

Semua informasi Anda, bahkan data yang tidak secara eksplisit Anda berikan izin, bisa diakses oleh siapa saja dari staf perusahaan tersebut. Ini juga berlaku untuk data milik atasan Anda. Bukan berarti perusahaan ini berniat jahat, tapi kenyataannya pengguna tidak memiliki privasi yang benar-benar aman.

Dia menyatakan, semakin banyak kemudahan yang didapat, tidak sebanding dengan risiko terhadap keamanan dan privasi diri sendiri dan keluarga.

02 Bangun Ulang Segalanya dari Nol dengan Rust

IronClaw adalah penulisan ulang lengkap OpenClaw menggunakan bahasa Rust.

Keamanan memori Rust yang unggul secara fundamental menghilangkan celah tradisional seperti buffer overflow, sangat penting untuk sistem yang menangani kunci pribadi dan kredensial pengguna.

Dalam arsitektur keamanannya, IronClaw membangun empat lapis pertahanan berlapis.

Lapisan pertama adalah jaminan keamanan memori dari Rust sendiri.

Lapisan kedua adalah isolasi sandbox WASM, semua alat pihak ketiga dan kode yang dihasilkan AI berjalan dalam wadah WebAssembly yang terisolasi, bahkan jika ada yang berniat jahat, kerusakannya terbatas dalam sandbox.

Lapisan ketiga adalah brankas kredensial terenkripsi, semua API kunci dan password disimpan dengan enkripsi AES-256-GCM, setiap kredensial terikat aturan kebijakan yang menentukan penggunaannya hanya untuk domain tertentu.

Lapisan keempat adalah Trusted Execution Environment (TEE), memanfaatkan isolasi tingkat hardware untuk melindungi data, bahkan penyedia layanan cloud pun tidak bisa mengakses informasi sensitif pengguna.

Yang paling penting dari desain ini adalah: model besar sendiri tidak pernah menyentuh kredensial asli.

Hanya saat agen cerdas perlu berkomunikasi dengan layanan eksternal, kredensial akan disuntikkan di batas jaringan.

Kak Pina memberi contoh, bahkan jika model besar diserang injeksi prompt dan mencoba mengirim token OAuth Google pengguna ke penyerang, lapisan penyimpanan kredensial akan langsung menolak permintaan tersebut, mencatat log, dan memberi peringatan ke pengguna.

Namun, komunitas pengembang tetap tidak yakin, mengingat lebih dari 2000 contoh OpenClaw yang diserang dan banyak skill berbahaya yang ada. Apakah IronClaw akan mengalami nasib yang sama saat populer?

Jawaban Kak Pina adalah, arsitektur IronClaw sudah secara fundamental menutup celah utama OpenClaw. Kredensial selalu disimpan terenkripsi dan tidak pernah bersentuhan langsung dengan LLM, skill pihak ketiga tidak bisa menjalankan skrip di host, hanya dalam container.

Bahkan jika diakses melalui CLI, harus menggunakan kunci sistem pengguna untuk mendekripsi, dan kunci enkripsi yang didapatkan sendiri tidak berguna.

Dia juga menyatakan, seiring stabilnya versi inti, tim berencana melakukan pengujian red team dan audit keamanan profesional.

Mengenai masalah injeksi prompt yang diakui industri sebagai tantangan utama, Kak Pina memberikan gambaran yang lebih detail.

Saat ini IronClaw menggunakan aturan heuristik untuk mendeteksi pola, dan ke depannya bertujuan mengimplementasikan classifier bahasa kecil yang terus diperbarui untuk mengenali pola injeksi.

Namun, dia juga mengakui, injeksi prompt tidak hanya bisa mencuri kredensial, tapi juga bisa mengubah langsung kode pengguna atau mengirim pesan berbahaya melalui alat komunikasi.

Menghadapi serangan ini membutuhkan sistem strategi yang lebih cerdas, mampu meninjau niat perilaku agen tanpa melihat isi input, “masih banyak pekerjaan, komunitas dipersilakan berkontribusi.”

Ada yang bertanya tentang pilihan deployment lokal vs cloud.

Kak Pina berpendapat, solusi lokal murni memiliki batasan jelas, saat perangkat dimatikan, agen berhenti bekerja, konsumsi energi di perangkat mobile sulit ditanggung, dan tugas panjang yang kompleks tidak bisa dijalankan.

Dia menyarankan cloud rahasia (confidential cloud) sebagai kompromi terbaik saat ini, yang menawarkan privasi mendekati perangkat lokal sekaligus mengatasi masalah “selalu online.”

Dia juga menyebutkan satu detail: pengguna bisa mengatur kebijakan, misalnya saat bepergian lintas negara, secara otomatis menambahkan lapisan keamanan ekstra untuk mencegah akses tidak sah.

03 Ambisi Lebih Besar

Kak Pina bukan pengembang open source biasa.

Pada 2017, dia menjadi salah satu dari delapan penulis bersama yang menerbitkan “Attention Is All You Need”, di mana arsitektur Transformer yang mereka usulkan menjadi dasar semua model bahasa besar saat ini.

Meskipun namanya tercantum terakhir, ada catatan kaki dalam makalah yang menyatakan “Equal contribution. Listing order is random.” Urutan penulis sepenuhnya acak.

Tahun yang sama, dia keluar dari Google dan mendirikan NEAR Protocol, berfokus menggabungkan AI dan teknologi blockchain.

Di balik IronClaw adalah visi strategis NEAR Protocol yang lebih besar: AI Milik Pengguna (User-Owned AI).

Dalam visi ini, pengguna sepenuhnya mengendalikan data dan aset mereka, agen cerdas beroperasi dalam lingkungan terpercaya untuk menjalankan tugas atas nama pengguna.

NEAR telah membangun infrastruktur seperti platform cloud AI dan pasar GPU terdesentralisasi, dan IronClaw adalah lapisan runtime dari sistem ini.

Kak Pina bahkan mengembangkan pasar untuk agen cerdas saling mempekerjakan.

Di NEAR di market.near.ai, pengguna bisa mendaftarkan agen cerdas yang mereka spesialisasi, dan seiring reputasi agen meningkat, mereka akan mendapatkan tugas bernilai tinggi lebih banyak.

Saat ditanya bagaimana orang biasa harus menyesuaikan diri dengan era AI dalam lima tahun ke depan, Kak Pina menyarankan agar segera mengadopsi cara kerja agen AI, belajar menyerahkan seluruh proses kerja secara otomatis padanya.

Penilaiannya ini bukan baru-baru ini muncul.

Sejak mendirikan NEAR AI pada 2017, Kak Pina sudah mengatakan kepada semua orang, “Di masa depan, Anda hanya perlu berinteraksi dengan komputer, tidak perlu lagi menulis kode.”

Saat itu orang menganggap mereka gila, omong kosong.

Sembilan tahun kemudian, hal ini mulai menjadi kenyataan.

“AI agen cerdas adalah antarmuka terakhir manusia dengan segala sesuatu secara online,” tulis Polosukhin, “tapi mari kita buat itu aman.”