AWS Rilis Layanan 'OpenClaw' di Lightsail di Tengah Skandal Kerentanan Keamanan Kritis
Baca dalam 60 detik
- AWS merilis layanan penerapan satu klik untuk agen AI OpenClaw di platform Amazon Lightsail guna memfasilitasi kebutuhan pengguna yang tidak memiliki latar belakang DevOps.
- Langkah ini memicu kekhawatiran karena ekosistem OpenClaw tengah dilanda krisis kerentanan eksekusi kode jarak jauh (RCE) dan infeksi malware rantai pasok pada ribuan instance publik.
- Para ahli keamanan mendesak pengguna layanan awan untuk tidak mengekspos gateway agen AI tersebut ke internet secara bebas, mengingat luasnya izin akses sistem yang dimilikinya.
Layanan komputasi awan Amazon Web Services (AWS) baru saja meluncurkan penerapan OpenClaw terkelola (managed deployment) melalui platform virtual private server mereka, Amazon Lightsail. Melansir publikasi dari InfoQ pada 15 Maret 2026, langkah penyediaan agen kecerdasan buatan (AI) sekali klik ini diambil AWS untuk menjawab tingginya permintaan pelanggan. Sayangnya, peluncuran ini terjadi bertepatan dengan maraknya temuan celah keamanan kritis yang telah menginfeksi puluhan ribu instance OpenClaw yang terekspos ke internet publik.
OpenClaw sendiri merupakan proyek perangkat lunak agen AI viral yang telah meraup lebih dari 250.000 bintang di GitHub, mengalahkan pamor proyek mapan seperti Linux dan React. Cetak biru (blueprint) yang disediakan Lightsail secara otomatis mengonfigurasi Amazon Bedrock dengan model bawaan Claude Sonnet 4.6, serta mengatur skrip CloudShell untuk mempermudah integrasi akses melalui WhatsApp, Telegram, Slack, atau Discord. Hal ini secara signifikan memangkas kerumitan konfigurasi teknis bagi pengguna non-DevOps.
Meskipun AWS menawarkan kemudahan instalasi, sejumlah firma keamanan telah membunyikan alarm tanda bahaya terkait kerentanan sistemik pada ekosistem OpenClaw:
- Eksploitasi Jarak Jauh (CVE-2026-25253): Kerentanan yang diungkap bulan lalu ini memungkinkan peretas untuk melakukan pencurian token WebSocket dan mengeksekusi kode jarak jauh (RCE) hanya dengan satu klik URL jebakan. Lebih dari 15.200 instance publik—sebagian besar beroperasi di *cloud* AWS, DigitalOcean, dan Alibaba—dilaporkan rentan.
- Kompromi Rantai Pasok (Supply Chain): Analisis Bitdefender menemukan bahwa sekitar 20% paket perangkat lunak (sekitar 900 skill) di registri OpenClaw, ClawHub, adalah program jahat (malware) yang menyamar. Modus ini bertujuan mencuri kunci API, menyisipkan backdoor, hingga mengeksfiltrasi data kredensial dari AI OpenAI maupun Google.
- Potensi Injeksi Prompt: Meski AWS Lightsail telah memberikan perlindungan sandbox dasar, agen AI ini tetap memegang izin tingkat sistem (seperti akses berkas dan kontrol browser) yang sangat rentan dimanipulasi melalui serangan injeksi prompt atau instruksi teks berbahaya.
Menanggapi krisis ini, beberapa perusahaan teknologi global telah melarang penggunaan OpenClaw di jaringan internal mereka, dan sejumlah negara bagian pun mengeluarkan peringatan resmi. Meskipun penciptanya, Peter Steinberger, kini telah bergabung dengan OpenAI untuk membangun tata kelola berbasis yayasan (foundation) yang lebih aman, pengguna AWS yang menjalankan solusi satu klik ini diimbau untuk tidak pernah mengekspos gateway mereka ke jaringan publik dan secara rutin merotasi kunci kredensial keamanan mereka.
"AWS mengakui adanya risiko tersebut, dengan mencatat bahwa menjalankan OpenClaw 'dapat menyebabkan ancaman keamanan jika Anda ceroboh.' Panduan penerapan merekomendasikan untuk tidak pernah mengekspos gateway secara publik."
