Celah “ClawJacked” di OpenClaw Memungkinkan Situs Jahat Ambil Alih Agen AI

Peneliti keamanan mengungkap kerentanan tingkat tinggi bernama “ClawJacked” pada platform agen AI populer OpenClaw. Celah ini memungkinkan situs web berbahaya membajak instance OpenClaw yang berjalan secara lokal dan mengambil alih kendali tanpa sepengetahuan pengguna.

Kerentanan tersebut ditemukan oleh Oasis Security dan telah diperbaiki dalam OpenClaw versi 2026.2.26 yang dirilis pada 26 Februari.

WebSocket Lokal Jadi Titik Masuk

OpenClaw merupakan platform AI self-hosted yang memungkinkan agen otonom mengirim pesan, menjalankan perintah, dan mengelola tugas lintas sistem. Popularitasnya meningkat pesat berkat kemampuannya mengotomatisasi berbagai proses.

Menurut Oasis, akar masalah berasal dari layanan gateway OpenClaw yang secara default melakukan binding ke localhost dan mengekspos antarmuka WebSocket.

Kebijakan cross-origin browser tidak memblokir koneksi WebSocket ke localhost. Artinya, jika pengguna OpenClaw mengunjungi situs jahat, skrip JavaScript di halaman tersebut dapat diam-diam membuka koneksi ke gateway lokal dan mencoba autentikasi tanpa peringatan apa pun.

Bruteforce Tanpa Batas dan Pairing Otomatis

Meski OpenClaw memiliki mekanisme pembatasan percobaan login (rate limiting), alamat loopback 127.0.0.1 dikecualikan secara default agar sesi CLI lokal tidak terkunci.

Peneliti menemukan bahwa mereka dapat melakukan bruteforce kata sandi manajemen dengan ratusan percobaan per detik langsung dari JavaScript di browser, tanpa pemblokiran maupun pencatatan upaya gagal.

Begitu kata sandi berhasil ditebak, penyerang dapat mendaftarkan perangkat sebagai perangkat tepercaya. Gateway OpenClaw secara otomatis menyetujui pairing dari localhost tanpa meminta konfirmasi pengguna.

Dalam pengujian laboratorium, Oasis mencatat bahwa daftar kata sandi umum dapat dihabiskan dalam hitungan kurang dari satu detik, sementara kamus besar hanya membutuhkan beberapa menit. Kata sandi buatan manusia dinilai hampir tidak memiliki peluang bertahan.

Potensi Kompromi Penuh Workstation

Dengan sesi terautentikasi dan hak administrator, penyerang dapat:

• Mengambil kredensial yang tersimpan
• Melihat daftar node yang terhubung
• Membaca log aplikasi
• Menginstruksikan agen AI mencari informasi sensitif di riwayat pesan
• Mengekstrak file dari perangkat terhubung
• Menjalankan perintah shell arbitrer

Skenario ini berpotensi berujung pada kompromi penuh workstation hanya melalui satu tab browser.

Oasis melaporkan kerentanan tersebut beserta detail teknis dan kode bukti konsep, dan perbaikan dirilis dalam waktu 24 jam sejak pengungkapan.

Perbaikan dan Rekomendasi

Patch terbaru memperketat pemeriksaan keamanan WebSocket dan menambahkan perlindungan tambahan agar koneksi loopback localhost tidak lagi dapat disalahgunakan untuk bruteforce atau pembajakan sesi, meskipun dikecualikan dari pembatasan percobaan login.

Organisasi dan pengembang yang menjalankan OpenClaw sangat disarankan segera memperbarui ke versi 2026.2.26 atau yang lebih baru.

Seiring meningkatnya adopsi OpenClaw, peneliti keamanan juga menemukan penyalahgunaan repositori skill “ClawHub” untuk mempromosikan skill berbahaya yang menyebarkan infostealer atau menipu pengguna agar menjalankan perintah berbahaya.

Kasus ClawJacked menjadi pengingat bahwa platform AI otonom yang terhubung luas ke sistem dan data sensitif harus dirancang dengan pengamanan default yang ketat, terutama terhadap interaksi lokal yang dapat dimanfaatkan oleh browser.