Penulis makalah Transformer menciptakan kembali udang lobster, mengucapkan selamat tinggal pada kerentanan OpenClaw yang terbuka

Transformer penulis Illia Polosukhin menulis ulang OpenClaw dengan Rust, meluncurkan kerangka agen AI yang aman bernama IronClaw, untuk mengatasi celah kebocoran kredensial dari tingkat arsitektur.

Dikutip dari | Quantum Bit

Berapa banyak lobster yang berjalan telanjang di internet?

Agen AI membawa password dan API key Anda terbuka ke seluruh jaringan.

Penulis Transformer Illia Polosukhin tidak bisa lagi menahan. Ia memulai dari nol untuk merekonstruksi lobster versi aman: IronClaw.

Saat ini IronClaw sudah dirilis sebagai open source di GitHub, menyediakan paket instalasi untuk macOS, Linux, dan Windows, mendukung deployment lokal maupun cloud. Proyek ini masih dalam tahap iterasi cepat, file binary versi v0.15.0 sudah dapat diunduh.

Polosukhin (selanjutnya disebut Bro Nanas) juga membuka diskusi di forum Reddit untuk menanggapi segala hal, menarik perhatian cukup tinggi.

01 OpenClaw menjadi terkenal, tapi juga “terbakar”

Bro Nanas sendiri adalah pengguna awal OpenClaw, dan menyebut ini sebagai teknologi yang ia tunggu selama 20 tahun.

Ini telah mengubah cara saya berinteraksi dengan komputasi.

Namun, kondisi keamanan OpenClaw bisa dikatakan bencana: eksekusi kode jarak jauh satu klik, serangan injeksi prompt, pencurian password melalui skill berbahaya, semua celah ini satu per satu terungkap di ekosistem OpenClaw.

Lebih dari 25.000 contoh terbuka yang terekspos di internet tanpa kontrol keamanan yang memadai, langsung disebut oleh para ahli keamanan sebagai “kebakaran sampah keamanan (security dumpster fire)”.

Akar masalahnya terletak pada arsitekturnya sendiri.

Ketika pengguna menyerahkan Bearer Token email mereka ke OpenClaw, token tersebut langsung dikirim ke server penyedia LLM.

Bro Nanas menunjukkan di Reddit apa arti hal ini:

Semua informasi Anda, bahkan data yang Anda tidak secara eksplisit berikan izin, bisa diakses oleh siapa saja dari karyawan perusahaan tersebut. Ini juga berlaku untuk data milik atasan Anda. Bukan berarti perusahaan ini berniat jahat, tapi kenyataannya pengguna tidak memiliki privasi yang benar-benar aman.

Dia menyatakan bahwa semakin banyak kemudahan yang didapat, semakin tidak sepadan dengan risiko terhadap keamanan dan privasi diri sendiri dan keluarga.

02 Membangun ulang semuanya dari nol dengan Rust

IronClaw adalah hasil penulisan ulang lengkap OpenClaw menggunakan bahasa Rust.

Keamanan memori dari Rust mampu secara fundamental menghilangkan celah tradisional seperti buffer overflow, yang sangat penting untuk sistem yang menangani kunci privat dan kredensial pengguna.

Dalam hal arsitektur keamanan, IronClaw membangun empat lapisan pertahanan berlapis.

Lapisan pertama adalah jaminan keamanan memori yang diberikan Rust sendiri.

Lapisan kedua adalah isolasi sandbox WASM, semua alat pihak ketiga dan kode yang dihasilkan AI berjalan dalam wadah WebAssembly yang terpisah. Bahkan jika ada alat yang berbahaya, kerusakannya terbatas dalam sandbox tersebut.

Lapisan ketiga adalah vault kredensial terenkripsi, semua API key dan password disimpan dengan enkripsi AES-256-GCM, setiap kredensial terikat aturan kebijakan yang menentukan penggunaannya hanya untuk domain tertentu.

Lapisan keempat adalah Trusted Execution Environment (TEE), memanfaatkan isolasi tingkat hardware untuk melindungi data, sehingga bahkan penyedia layanan cloud tidak dapat mengakses informasi sensitif pengguna.

Inti dari desain ini adalah: Model besar itu sendiri tidak pernah menyentuh kredensial asli.

Hanya saat agen membutuhkan komunikasi dengan layanan eksternal, kredensial akan disuntikkan di batas jaringan.

Bro Nanas memberi contoh: bahkan jika model besar diserang dengan injeksi prompt yang mencoba mengirim token OAuth Google pengguna ke penyerang, lapisan penyimpanan kredensial akan langsung menolak permintaan tersebut, mencatat log, dan memberi peringatan ke pengguna.

Namun, komunitas pengembang tetap tidak yakin, mengingat lebih dari 2000 contoh OpenClaw yang diserang dan banyak skill berbahaya yang ada. Apakah IronClaw akan mengalami nasib yang sama saat populer?

Jawaban Bro Nanas adalah, arsitektur IronClaw sudah secara fundamental menutup celah utama OpenClaw. Kredensial selalu disimpan terenkripsi dan tidak pernah bersentuhan langsung dengan LLM, skill pihak ketiga tidak bisa menjalankan skrip di host, hanya dalam container.

Bahkan jika diakses melalui CLI, kredensial harus didekripsi menggunakan kunci sistem pengguna, dan kunci terenkripsi yang didapatkan sendiri tidak berguna.

Dia juga menyatakan bahwa seiring stabilnya versi inti, tim berencana melakukan pengujian red team dan audit keamanan profesional.

Mengenai masalah injeksi prompt yang diakui secara industri sebagai tantangan utama, Bro Nanas memberikan gambaran yang lebih rinci.

Saat ini IronClaw menggunakan aturan heuristik untuk mendeteksi pola, dan ke depannya bertujuan mengimplementasikan classifier kecil yang terus diperbarui untuk mengenali pola injeksi.

Namun, dia juga mengakui bahwa injeksi prompt tidak hanya bisa mencuri kredensial, tetapi juga bisa langsung mengubah kode pengguna atau mengirim pesan berbahaya melalui alat komunikasi.

Menghadapi serangan ini, diperlukan sistem strategi yang lebih cerdas, mampu meninjau niat perilaku agen tanpa melihat isi input, “masih banyak pekerjaan, komunitas dipersilakan berkontribusi.”

Ada pertanyaan tentang pilihan deployment lokal versus cloud.

Bro Nanas berpendapat bahwa solusi murni lokal memiliki batasan jelas: saat perangkat dimatikan, agen berhenti bekerja, konsumsi energi di perangkat mobile tidak mampu menanggung, dan tugas panjang yang kompleks tidak bisa dijalankan.

Dia menyarankan bahwa cloud rahasia (confidential cloud) adalah solusi kompromi terbaik saat ini, memberikan perlindungan privasi mendekati perangkat lokal sekaligus menjaga “ketersediaan 24/7”.

Dia juga menyebutkan satu detail: pengguna bisa mengatur kebijakan, misalnya saat melakukan perjalanan lintas negara secara otomatis menambahkan lapisan keamanan ekstra, mencegah akses tidak sah.

03 Ambisi yang Lebih Besar

Bro Nanas bukan pengembang open source biasa.

Pada 2017, dia menjadi salah satu dari delapan penulis bersama yang menerbitkan “Attention Is All You Need”, yang memperkenalkan arsitektur Transformer yang menjadi dasar semua model bahasa besar saat ini.

Meskipun namanya tercantum terakhir, ada catatan kaki di paper yang menyatakan “Equal contribution. Listing order is random.” Urutan penulis benar-benar acak.

Tahun yang sama, dia keluar dari Google dan mendirikan NEAR Protocol, berfokus menggabungkan AI dan teknologi blockchain.

Di balik IronClaw, ada visi strategis NEAR Protocol yang lebih besar: AI Milik Pengguna (User-Owned AI).

Dalam visi ini, pengguna sepenuhnya mengendalikan data dan aset mereka, dan agen AI beroperasi dalam lingkungan terpercaya untuk menjalankan tugas atas nama pengguna.

NEAR telah membangun infrastruktur seperti platform cloud AI dan pasar GPU terdesentralisasi, dan IronClaw adalah lapisan runtime dari sistem ini.

Bro Nanas bahkan mengembangkan pasar di mana agen saling mempekerjakan.

Di platform NEAR di market.near.ai, pengguna dapat mendaftarkan agen profesional mereka, dan seiring reputasi agen meningkat, mereka akan mendapatkan tugas bernilai tinggi lebih banyak.

Ketika ditanya bagaimana orang biasa bisa beradaptasi dengan era AI dalam lima tahun ke depan, Bro Nanas menyarankan agar segera mengadopsi cara kerja agen AI, belajar menyerahkan seluruh proses kerja secara otomatis ke mereka.

Penilaiannya ini bukan baru muncul belakangan ini.

Sejak mendirikan NEAR AI pada 2017, Bro Nanas sudah memberi tahu semua orang bahwa “di masa depan, Anda hanya perlu berinteraksi dengan komputer, tidak perlu lagi menulis kode.”

Saat itu orang menganggap mereka gila, menganggap itu omong kosong.

Nine tahun kemudian, hal itu mulai menjadi kenyataan.

“AI agen adalah antarmuka terakhir manusia dengan semua interaksi online,” tulis Polosukhin, “tapi mari kita buat itu aman.”