Dari Sihir ke Malware: Bagaimana fitur Agent OpenClaw berubah menjadi sarana penyebaran malware?

Judulnya saya ubah sedikit. Judul Inggris yang lebih akurat kira-kira adalah 'Dari Sihir ke Malware: Bagaimana skill agent OpenClaw menjadi permukaan serangan'.

Ini adalah tulisan tertanggal 2 Februari 2026, dan menurut saya layak dibaca, jadi saya bagikan.

Dari Sihir ke Malware: Bagaimana skill agent OpenClaw menjadi permukaan serangan

Pengantar: mengapa kekuatan agent juga berarti risiko

Beberapa hari lalu, saya menulis tentang mengapa OpenClaw terasa seperti portal ke masa depan, dan mengapa masa depan itu juga terasa menakutkan dengan cara yang sangat konkret.

Singkatnya begini. Gateway agent seperti OpenClaw kuat karena benar-benar bisa mengakses file, tool, browser, terminal, serta file "memori" jangka panjang yang berisi cara berpikir dan jejak kerja Anda. Kombinasi inilah yang persis sesuai dengan target para infostealer modern.

Tulisan ini adalah kelanjutan yang tidak nyaman dari kisah "dan akhirnya ini benar-benar terjadi".

Masalahnya bukan hanya agent bisa berbahaya setelah dipasang. Ekosistem yang mendistribusikan kemampuan agent dan registri skill itu sendiri kini sudah menjadi permukaan serangan.

⚠️ Peringatan: jangan gunakan OpenClaw di perangkat kantor

Jika Anda sedang bereksperimen dengan OpenClaw, jangan pernah melakukannya di perangkat kantor. Ini tegas.

Dalam tulisan pertama, saya menggambarkan OpenClaw sebagai semacam perjanjian faustian. Daya tarik OpenClaw justru terletak pada fakta bahwa ia benar-benar punya akses ke mesin lokal, aplikasi, sesi browser, file, dan memori jangka panjang Anda. Tetapi hak akses yang sama itu juga berarti belum ada cara aman untuk menjalankannya di mesin yang menyimpan kredensial perusahaan atau dapat mengakses sistem produksi.

Jika Anda sudah menjalankan OpenClaw di perangkat kerja, anggap ini sebagai potensi insiden keamanan dan segera hubungi tim keamanan Anda. Jangan menunggu sampai ada gejala. Hentikan pekerjaan pada mesin tersebut dan ikuti prosedur respons insiden organisasi Anda.

Skill hanyalah file Markdown, dan justru itulah masalahnya

Dalam ekosistem OpenClaw, "skill" biasanya berupa file Markdown. Semacam panduan satu halaman yang memberi tahu agent cara melakukan tugas khusus. Dalam praktiknya, Markdown ini bisa berisi link, perintah copy-paste, resep pemanggilan tool, dan lain-lain.

Itu terlihat tidak berbahaya sampai Anda memikirkan bagaimana manusia dan agent benar-benar mengonsumsi dokumen:

• "Ini prasyaratnya."
• "Jalankan perintah ini."
• "Pasang dependensi inti ini."
• "Tempelkan ini ke terminal."

Dalam ekosistem agent, Markdown bukan sekadar "konten". Markdown adalah installer.

Kesalahpahaman berbahaya: "MCP membuat skill aman"

Sebagian orang berasumsi lapisan MCP (Model Context Protocol) membuat ini lebih aman, karena tool diekspos melalui antarmuka terstruktur, dan bergantung pada implementasi host serta server, dapat tersedia kontrol persetujuan pengguna dan otorisasi yang eksplisit.

Namun skill sama sekali tidak harus menggunakan MCP.

Spesifikasi skill agent tidak memberikan batasan apa pun pada isi Markdown, dan skill dapat memuat instruksi apa pun yang "membantu agent menyelesaikan pekerjaan". Ini termasuk perintah terminal copy-paste. Selain itu, skill dapat membundel script bersama Markdown, sehingga eksekusi dapat terjadi di luar batas tool MCP.

Jadi jika model keamanan Anda adalah "MCP akan mengendalikan pemanggilan tool", Anda tetap bisa terkena skill berbahaya yang melewati MCP lewat social engineering, instruksi shell langsung, atau kode yang dibundel. MCP bisa menjadi bagian dari sistem yang aman, tetapi bukan jaminan keamanan dengan sendirinya.

Yang sama pentingnya, ini juga bukan hanya masalah OpenClaw. "Skill" makin portabel karena banyak agent mengadopsi format Agent Skills terbuka. Dalam format ini, skill adalah folder yang berpusat pada file SKILL.md dengan metadata dan instruksi bebas, dan juga dapat membundel script serta resource lain. Dokumentasi OpenAI juga menjelaskan struktur dasar yang sama (SKILL.md + script dan aset opsional). Artinya, "skill" berbahaya bukan sekadar masalah OpenClaw, melainkan mekanisme distribusi yang dapat menyebar ke seluruh ekosistem agent yang mendukung standar yang sama.

Apa yang saya temukan: skill yang paling banyak diunduh ternyata menjadi sarana pengantaran malware

Saat menjelajahi ClawHub (saya tidak akan memberi tautan karena alasan yang jelas), saya menemukan bahwa skill yang paling banyak diunduh saat itu adalah skill "Twitter". Kelihatannya biasa saja. Ada deskripsi, tujuan penggunaan, gambaran umum, pokoknya sesuatu yang bisa dipasang tanpa banyak berpikir.

Namun hal pertama yang dilakukan skill ini adalah memperkenalkan "openclaw-core" sebagai "dependensi wajib" dan menyediakan langkah pemasangan per platform. Langkah-langkah ini menyertakan link praktis yang tampak seperti tautan dokumentasi biasa ("here", "this link").

Tetapi itu bukan tautan normal.

Kedua tautan mengarah ke infrastruktur berbahaya. Ini adalah pola pengantaran bertahap yang khas:

1. Gambaran umum skill mengarahkan pengguna untuk memasang prasyarat.
2. Tautan menuju halaman staging yang dirancang agar agent menjalankan perintah.
3. Perintah tersebut mendekode dan mengeksekusi payload yang diobfuscate.
4. Payload mengambil script tahap kedua.
5. Script mengunduh dan menjalankan biner, termasuk menghapus atribut karantina macOS agar Gatekeeper, sistem antimalware bawaan macOS, tidak memindainya.

Saya sengaja tidak menempelkan perintah atau URL persisnya di sini. Mekanismenya sayangnya sederhana, dan mengulanginya akan lebih membantu penyerang daripada pembela. Intinya, ini bukan sekadar "tautan mencurigakan". Ini adalah rantai eksekusi penuh yang menyamar sebagai petunjuk instalasi.

Terkonfirmasi: malware tipe infostealer

Saya mengunduh biner final dengan aman lalu mengirimkannya ke VirusTotal.

Hasilnya tidak ambigu. Biner itu teridentifikasi sebagai malware infostealer untuk macOS.

Ini bukan malware yang sekadar "menginfeksi komputer". Ia menjarah semua hal berharga di perangkat itu:

• sesi browser dan cookie
• kredensial tersimpan dan data autofill
• token developer dan API key
• SSH key
• kredensial cloud
• apa pun yang bisa dipakai untuk mengambil alih akun

Jika Anda termasuk orang yang memasang skill agent, mesin Andalah yang memang layak dicuri.

Ini bukan kejadian tunggal. Ini adalah kampanye yang terorganisir

Setelah saya membagikan temuan ini secara internal, laporan yang lebih luas mulai muncul dan skalanya pun terlihat. Dilaporkan bahwa ratusan skill OpenClaw terlibat dalam distribusi malware macOS melalui instruksi bergaya ClickFix.

Detail ini penting karena menegaskan apa sebenarnya ini.

Bukan unggahan berbahaya sekali lalu selesai.

Ini strategi yang disengaja: menggunakan "skill" sebagai kanal distribusi, dan "prasyarat" sebagai bungkus social engineering.

Saat sesuatu yang "membantu" berubah menjadi sesuatu yang "bermusuhan" di dunia agent

Selama bertahun-tahun kita sudah belajar bahwa package manager dan registri open source dapat menjadi vektor serangan rantai pasok.

Registri skill agent adalah bab berikutnya. Bedanya, "package" di sini pada dasarnya adalah dokumen.

Dan hal itulah yang membuat jalur serangannya jadi jauh lebih mulus:

• orang tidak menduga file Markdown bisa berbahaya
• orang terbiasa mengikuti langkah instalasi dengan cepat
• orang mempercayai label "paling banyak diunduh" sebagai sinyal legitimasi
• dalam ekosistem agent, batas antara membaca instruksi dan menjalankannya runtuh

Bahkan jika agent Anda tidak bisa menjalankan perintah shell secara langsung, ia tetap bisa melakukan hal berbahaya. Ia bisa menormalkan perilaku berisiko.

Ia bisa merangkum prasyarat berbahaya dengan percaya diri sebagai "langkah instalasi standar". Ia bisa mendorong Anda menempelkan one-liner. Ia bisa mengurangi keraguan Anda.

Dan jika agent Anda memang bisa menjalankan perintah lokal, maka skill berbahaya bukan sekadar "konten buruk". Ia adalah remote code execution yang dibungkus sebagai dokumentasi ramah.

Apa yang harus dilakukan sekarang juga

Jika Anda menggunakan OpenClaw atau registri skill

Jangan jalankan ini di perangkat kantor. Tidak ada cara aman. Jika Anda sudah melakukannya, atau pernah menjalankan perintah "instalasi" dari sebuah skill, segera hubungi tim keamanan Anda dan perlakukan sebagai potensi kompromi.

• hentikan pekerjaan sensitif di perangkat tersebut
• rotasi sesi dan secret terlebih dahulu: sesi browser, token developer, SSH key, sesi konsol cloud
• tinjau riwayat login terbaru: email, source control, cloud, CI/CD, konsol admin

Jika Anda tetap ingin bereksperimen, gunakan mesin terisolasi yang tidak memiliki akses perusahaan dan tidak menyimpan kredensial.

Jika Anda mengoperasikan registri skill

Anda pada dasarnya menjalankan app store. Asumsikan ini akan disalahgunakan.

• pindai one-liner instalasi, payload terenkripsi, penghapusan karantina, dan arsip yang dilindungi kata sandi
• tambahkan verifikasi asal-usul dan sistem reputasi penerbit
• tambahkan peringatan dan friction pada tautan eksternal dan langkah instalasi
• tinjau skill berperingkat tinggi dan hapus skill berbahaya dengan cepat

Di sini, Markdown adalah niat yang bisa dieksekusi.

Jika Anda membangun framework agent

Asumsikan skill akan dipersenjatai.

• blokir eksekusi shell dengan default-deny
• sandbox akses ke browser, keychain, dan penyimpanan kredensial
• buat izin yang spesifik, berbatas waktu, dan dapat dicabut
• tambahkan friction pada eksekusi perintah dan kode jarak jauh
• lakukan logging end-to-end atas asal-usul dan perilaku

Merancang masa depan: lapisan kepercayaan yang dibutuhkan agent

Inilah bukti paling jelas dari argumen yang saya sampaikan di tulisan sebelumnya. OpenClaw kuat karena meruntuhkan jarak antara niat dan eksekusi. Itulah letak "sihirnya". Tetapi pada saat yang sama, itulah sumber risiko yang besar. Ketika kemampuan didistribusikan sebagai skill dan dipasang melalui dokumentasi, registri berubah menjadi rantai pasok, dan jalur instalasi termudah menjadi jalur yang paling disukai penyerang.

Jawabannya bukan berhenti membangun agent. Jawabannya adalah membangun lapisan kepercayaan yang selama ini hilang di sekitar agent. Skill memerlukan bukti asal-usul. Eksekusi memerlukan mediasi. Izin harus spesifik, dapat dicabut, dan terus ditegakkan. Bukan diberikan sekali lalu dilupakan. Jika agent akan bertindak atas nama kita, maka kredensial dan tindakan sensitif tidak boleh bisa begitu saja "diambil" oleh kode apa pun yang sedang berjalan. Semua itu harus dimediasi, dikelola, dan diaudit secara real time.

Itulah mengapa kita membutuhkan lapisan berikutnya. Dalam dunia tempat "skill" menjadi rantai pasok, satu-satunya masa depan yang aman adalah masa depan di mana setiap agent memiliki identitasnya sendiri, hanya memegang izin minimum yang dibutuhkan saat itu juga, dan akses tersebut berbatas waktu, dapat dicabut, serta dapat dilacak.