Di artikel sebelumnya, saya sudah bahas panjang lebar soal cara install OpenClaw AI di VPS biar kamu punya asisten AI pribadi yang standby 24/7. Memang keren banget bisa punya asisten model JARVIS yang bisa ngoding, baca file, dan jalanin script otomatis.
Tapi, ada satu hal penting yang wajib kamu tahu sebelum kamu membiarkan OpenClaw kamu nyala terus-terusan di VPS publik: OpenClaw itu sekarang lagi jadi incaran empuk para hacker.
Saking rawan celahnya, Cisco Talos (salah satu tim cybersecurity) sampai menyebut OpenClaw ini sebagai “mimpi buruk” dari kacamata keamanan. Kok bisa? Dan gimana cara ngamanin VPS kita? Mari kita bedah.
Kenapa OpenClaw Rawan Banget?
Inti dari kekuatan OpenClaw adalah dia dikasih akses buat ngejalanin command di mesin kamu. Ibarat kamu punya pelayan super pintar, tapi kamu ngasih dia kunci master ke semua ruangan di rumah kamu.
Masalahnya, kalau keamanannya nggak disetel dengan benar, “pelayan” ini bisa membukakan pintu buat hacker.
Sepanjang awal tahun 2026 ini saja, OpenClaw sudah kena banyak masalah keamanan fatal:
- Celah RCE (Remote Code Execution): Ditemukan bug (CVE-2026-25253) di mana hacker cuma butuh satu klik buat nembus masuk ke mesin kamu. Walaupun sempat di-patch, peneliti keamanan menemukan kalau sandbox Docker-nya ternyata masih bisa di-bypass (CVE-2026-24763).
- Serangan “ClawHavoc” di Marketplace (ClawHub): Ini yang paling ngeri. Hacker meng-upload plugin (skills) palsu yang kelihatannya pro banget di ClawHub. Pas kamu install, plugin itu ternyata membawa malware Atomic Stealer yang bakal nyolong semua API Keys (seperti kunci OpenAI atau Anthropic) yang kamu pasang di OpenClaw. Kalau API Key bocor, hacker bisa punya kontrol penuh dan tagihan API kamu bisa jebol!
Parahnya lagi, data dari tim keamanan Censys menunjukkan ada lebih dari 21.600 instance OpenClaw yang diekspos langsung ke internet publik tanpa pengamanan yang benar. Kalau VPS kamu salah satunya, kamu harus gerak cepat.
Kenalan sama ‘SecureClaw’: Audit Tools Wajib Buat OpenClaw
Sadar kalau sekadar peringatan nggak mempan buat developer, Alex Polyakov dari Adversa AI akhirnya membuat tool open-source gratis bernama SecureClaw.
Daripada kamu bingung mencari celah keamanan VPS kamu satu-satu secara manual, kamu tinggal jalanin tool ini. SecureClaw akan melakukan 55 audit otomatis untuk mengecek semua kemungkinan bahaya di konfigurasi OpenClaw kamu.
Tool ini bakal ngetes apakah instance kamu rentan kena injeksi prompt, apakah kredensial kamu gampang dicuri, sampai mengecek exposure ke internet.
Best Practice: Cara Ngamanin OpenClaw di VPS Kamu
Selain rutin menjalankan SecureClaw, ada beberapa ritual wajib yang harus kamu lakukan buat ngamanin server kamu:
1. Update Sekarang Juga
Jangan pakai OpenClaw versi lawas! Pastikan kamu sudah update minimal ke versi 2026.1.30 atau yang paling baru (seperti versi 2026.2.17) karena versi tersebut sudah bersih dari celah CVE yang diketahui.
2. Jangan Asal Install Skill
Hati-hati saat menambahkan AgentSkills dari ClawHub. Anggap saja kamu sedang mengunduh file dari website yang nggak dikenal. Cek dulu source code-nya sebelum di-deploy.
3. Wajib Pakai Docker Sandbox
Secara default, tools OpenClaw itu jalan langsung di host untuk sesi utama kamu. Buat keamanan ekstra (terutama di grup/channel), setel config:
agents.defaults.sandbox.mode: "non-main"Biar agen jalan di dalam sandbox Docker yang lebih aman.
4. Hati-hati Sama Akses DM (Direct Message)
OpenClaw kan bisa disambungin ke WhatsApp, Telegram, atau Discord. Input DM dari orang luar itu ibarat “untrusted input”. Pastikan fitur pairing aktif (contoh: dmPolicy="pairing") biar nggak sembarang orang tak dikenal ngetik prompt ke bot kamu yang akhirnya mengeksekusi command aneh di server.
Punya AI yang jalan di server sendiri itu memang superpower baru buat developer. Tapi ingat, with great power comes great server bill (kalau API Key kamu dicolong). Jadi, luangkan waktu 10 menit hari ini buat mengecek keamanan OpenClaw kamu! 🔒