- Pengembang NanoClaw yang memiliki 18.000 bintang GitHub mengungkap bahwa saat nama proyek dicari di Google, situs palsu muncul lebih tinggi daripada situs resminya
- Situs palsu yang dibuat otomatis (nanoclaw[.]net) dengan men-scrape README proyek menempati peringkat 2 hasil pencarian Google, sementara situs resmi yang sebenarnya tidak muncul bahkan setelah halaman 5
- Meski sudah mengambil semua langkah yang sah, seperti optimasi SEO, pengajuan ke Google Search Console, dan mendapatkan tautan liputan dari media IT besar, hasil pencarian Google tidak berubah
- Karena kode berbahaya atau tautan phishing bisa disisipkan ke situs palsu, kerentanan keamanan terbesar bagi proyek yang dirancang dengan fokus keamanan justru menjadi pencarian Google itu sendiri
- Jika bahkan ketika semua sinyal jelas menunjuk ke satu jawaban Google tetap gagal menampilkan hasil yang benar, maka keandalan Google sebagai gerbang informasi internet patut dipertanyakan
Proyek NanoClaw dan awal mula masalah situs palsu
- NanoClaw adalah proyek open source dengan desain security-first, di mana semua agen berjalan di dalam container terisolasi dan runtime sandbox yang aman menjadi inti utamanya
- Setelah dirilis pada 2 Februari, proyek ini tumbuh cepat dan diliput oleh media besar seperti CNBC, VentureBeat, dan The Register
- Pada tahap awal peluncuran, belum ada situs web terpisah dan repositori GitHub adalah proyek itu sendiri, sehingga fokus diarahkan pada pengembangan fitur dan pembangunan komunitas
- Sekitar 8 Februari, seseorang mendaftarkan domain nanoclaw[.]net dan membuat situs otomatis dari konten yang di-scrape dari README
- Pada awalnya, situs itu masih memuat tautan GitHub yang benar sehingga belum dianggap masalah besar
Meluasnya dampak akibat situs palsu
- Seiring proyek berkembang, semakin banyak pengguna mulai mengirim pertanyaan seperti "ada error di situs Anda", "apakah situs ini memang ada iklannya", atau "kenapa tampilannya seperti ini di mobile"
- Situs tersebut memuat informasi yang tidak sesuai fakta tentang proyek, bahkan memalsukan tanggal publikasi
- Ribuan pengguna mengira situs itu adalah situs resmi, dan kesan pertama mereka terhadap NanoClaw terbentuk sebagai halaman murahan yang penuh iklan
- Kerugian terus bertambah setiap hari, dan kemungkinan sudah ratusan ribu orang terpapar informasi yang salah
Pembuatan situs resmi dan upaya respons SEO
- Dua minggu lalu, situs resmi nanoclaw.dev dibangun dan semua langkah yang memungkinkan telah dilakukan
- Menautkan situs resmi dari repositori GitHub
- Menerapkan structured data dan optimasi SEO yang tepat
- Mengajukan ke Google Search Console sekitar 15 kali
- Mendapatkan tautan ke situs asli dari artikel media seperti The Register, VentureBeat, dan The New Stack
- Menerbitkan posting blog yang mencapai peringkat 1 di Hacker News
- Menerjemahkan situs ke dalam 15 bahasa
- Menghubungkan semua profil sosial ke nanoclaw.dev
- Mengajukan permintaan penghapusan (takedown notice) ke Google, Cloudflare, dan registrar domain spaceship.com
- Semua sinyal di internet menunjuk ke nanoclaw.dev sebagai situs resmi, tetapi hasil pencarian Google tetap tidak berubah
Masalah struktural pada Google Search
- Di repositori GitHub NanoClaw yang berada di peringkat 1 Google Search, kolom website secara eksplisit mencantumkan nanoclaw.dev
- Meski begitu, Google masih menampilkan situs palsu lebih tinggi daripada situs resmi
- Para pakar SEO menyarankan "menangkan saja di SEO" atau "beli Google Ads", tetapi fakta bahwa pengembang proyek open source harus berperang SEO untuk nama proyeknya sendiri sudah merupakan masalah
- Ini bukan masalah SEO, melainkan masalah Google
Risiko keamanan
- NanoClaw adalah proyek yang berfokus pada keamanan, terutama pada keamanan dan sandboxing runtime agen
- Saat ini, kerentanan keamanan terbesar proyek justru adalah pencarian Google itu sendiri
- Operator situs palsu bisa kapan saja menyisipkan penipuan kripto, halaman phishing, atau tautan unduhan berbahaya ke halaman tersebut
- Mereka juga bisa mem-fork repositori GitHub untuk menyuntikkan kode berbahaya lalu menautkannya dari situs palsu yang oleh Google disajikan seolah sah
- Google membuat situasi ini menjadi risiko keamanan aktif secara real-time
Pertanyaan mendasar soal keandalan Google
- Bahkan untuk pertanyaan yang jawabannya sudah dinyatakan jelas oleh proyek itu sendiri, semua sinyal selaras, dan tidak ada ambiguitas, Google tetap gagal memberikan hasil yang benar
- Ini memunculkan pertanyaan mendasar apakah Google dapat dipercaya untuk informasi penting seperti pemilu, vaksin, medis, dan keuangan
- Sudah saatnya berhenti menyalahkan diri sendiri soal apakah meta tag atau format favicon sudah sempurna; jika Google menampilkan hasil yang salah meski memiliki sinyal yang kaya dan jelas, itu adalah tanggung jawab Google
- Jika Google ingin mempertahankan posisinya sebagai gerbang informasi internet, masalah mendasar seperti ini harus bisa diselesaikan
4 komentar
Para spammer SEO benar-benar rajin sekali.
Sekarang memang kalau dicari sudah tidak muncul, tetapi tetap perlu terus mengecek dengan mencari produk yang kita buat sendiri.
Saya juga selalu memantau peringkat trafik masuk dari kata kunci pencarian di GeekNews. Kalau Anda mengelola website, melihat Search Console itu wajib.
Saat mencari nanoclaw, nanoclaw.net masih muncul di bawah Git.
Ternyata structured data itu penting.
Komentar Hacker News
Beberapa tahun lalu, saat John Reilly memposting tulisan berjudul “How I ruined my SEO” di HN, saya membantunya secara gratis
Dia merangkum proses itu di blognya
Kalau mau, saya bersedia membantu lagi kali ini
Solusi tercepat adalah melakukan pemetaan backlink untuk situs .net, lalu mengirim email ke media yang memasang tautan yang salah
Katakan saja, “tautan ini mengarah ke situs palsu, yang asli ada di sini”, dan ternyata cukup banyak yang mau memperbaikinya
Itu saja sudah bisa mengubah situasi
Selain itu, kalau menambahkan structured data dan schema ke nanoclaw.dev, mesin pencari dan LLM akan lebih mudah mengenalinya
Kalau diringkas menjadi saran praktis
Lihat spreadsheet daftar backlink
Menurut saya ini adalah tawaran yang sangat murah hati
Tapi dari sudut pandang penulis, rasanya pasti menyebalkan karena harus menyelesaikan sendiri masalah yang dibuat Google
Terasa tidak adil bahwa perusahaan bernilai puluhan miliar dolar bahkan tidak bisa membedakan tautan resmi yang sudah jelas ada di GitHub, lalu pada akhirnya individu yang harus menghabiskan waktunya
Rasanya hampa bahwa kita harus melakukan pekerjaan SEO yang tidak perlu seperti ini
Ini bukan masalah satu situs saja
Banyak sekali proyek open source mengalami hal yang sama
Pada dasarnya ini masalah yang harus diperbaiki Google
Saran yang sangat bagus
Masukan yang bagus
Dari sudut pandang pihak ketiga, versi .net tampaknya muncul lebih tinggi karena mendapat tautan dari media berotoritas tinggi seperti The Register dan The New Stack
Ini baru seminggu, jadi Google mungkin masih perlu waktu untuk mengenalinya dengan benar
Google cenderung bias ke situs yang lebih dulu membahas sebuah topik
Jadi besar kemungkinan peringkatnya akan menyesuaikan seiring waktu
Untuk sementara, lebih baik menautkan ke situs resmi daripada ke GitHub
Saya cek langsung, ternyata hanya The Register yang mengutip halaman yang salah, sementara artikel lain merujuk ke GitHub
Arsip The Register
Arsip VentureBeat
Arsip The New Stack
Ini menunjukkan bahwa di internet yang penuh konten duplikat, patokan “yang terbit lebih dulu adalah sumber asli” tidak selalu benar
Itulah sebabnya sampai sekarang kalau cari masih dokumentasi Java 8 yang muncul di atas. Cukup menjengkelkan
Inti masalahnya adalah ini memang “baru seminggu”
Algoritme Google terjerat dengan banyak sekali bobot authority dan quality, jadi sulit diubah dalam waktu singkat
Kalau Anda seorang developer, sebaiknya buat halaman situs web sendiri untuk tiap proyek
Kalau memungkinkan, bahkan lebih aman kalau repo juga self-hosting
Saya pengguna berbayar Kagi, tapi belakangan saya juga kecewa karena Kagi makin sering menampilkan hasil berkualitas rendah buatan AI
Hasil pencarian untuk nanoclaw juga hampir sama dengan Google
Saya juga merasakan hal serupa
Fitur kustomisasi Kagi memang bagus, tapi web itu sendiri sudah terlalu penuh dengan informasi berkualitas rendah, jadi pada akhirnya mesin pencari mana pun punya batasnya
Akhir-akhir ini tidak ada mesin pencari yang benar-benar memuaskan :(
Saya coba cari nanoclaw di Kagi
hasil nomor 1 adalah nanoclaw[dot]net,
nomor 2 repo GitHub milik qwibitai (terlihat palsu),
nomor 3 video promosi,
nomor 4 GitHub gavrielc yang tampak asli,
nomor 5 nanoclaw.dev tapi judulnya tampil sebagai “Don’t trust AI agents”
nomor 6 adalah fork lain
Saya merangkum hasil pengujian di berbagai mesin pencari dan AI
Google dan Brave menampilkan GitHub resmi → domain palsu,
DuckDuckGo dan Bing menampilkan domain palsu → GitHub resmi,
Mojeek berfokus pada artikel pihak ketiga, dan Qwant yang paling buruk
Sebaliknya, mode pencarian AI seperti ChatGPT, Gemini, dan Grok kebanyakan mengenali situs resmi dengan tepat, dan beberapa bahkan menampilkan peringatan tentang situs palsu
Kesimpulannya, AI jauh lebih akurat daripada pencarian tradisional
Tapi hasilnya juga berbeda untuk tiap pengguna
Di Google saya, .net muncul di nomor 1 dan GitHub di nomor 2
Mode ChatGPT 5.2 Auto masih salah mengira .net sebagai situs resmi, tetapi mode Thinking dan Claude menampilkan .dev dengan benar sebagai prioritas
AltPower Search juga menunjukkan masalah yang sama
Sepertinya nanoclaw.dev masih domain baru sehingga pengindeksannya belum lengkap
Lihat AltPower, Archive, dan Cloudflare Radar
Saya penasaran prompt seperti apa yang dipakai untuk menguji AI
Saran tentang structured data di komentar atas memang inti masalahnya
Saya juga pernah menambahkan schema Organization dan SoftwareApplication, lalu Google mulai mengenali situs saya dengan cara yang benar-benar berbeda
Masalahnya, meski Google sebenarnya sudah punya semua sinyal yang dibutuhkan, ia tetap memberi bobot lebih besar pada umur domain dan jumlah backlink
Pada akhirnya sistem ini justru memberi imbalan kepada orang yang lebih dulu merebut domain, bukan kepada pembuat yang asli
Saya jadi penasaran apakah ada cara untuk memastikan siapa yang benar-benar manusia
Saat mencari nanoclaw hari ini, saya menemukan situs palsu lain bernama nanoclawS.io
Situs itu mengumpulkan email jadi berbahaya
Dalam kasus seperti ini, menurut saya daripada fokus ke peringkat Google, lebih baik situsnya diblokir di tingkat hosting
Kalau ada elemen hak cipta yang memungkinkan pengajuan DMCA, mungkin patut dicoba
Saran saya untuk semua developer open source: ketika merilis proyek, selalu ingat bahwa ada kemungkinan disalahgunakan
Dunia memang berjalan seperti itu
Open source itu patut disyukuri, tapi melindungi diri sendiri lebih dulu juga penting
Terutama kalau lisensinya MIT, perusahaan besar seperti Amazon bisa saja mem-fork lalu menghasilkan uang darinya sementara Anda tidak menerima sepeser pun
Itu masalah yang berada di level berbeda dibanding sekadar coding amal
Ada hukum terkait yaitu Hyrum’s Law
Isinya, “dengan jumlah pengguna API yang cukup besar, semua perilaku sistem akan menjadi sesuatu yang diandalkan oleh seseorang”
Kalah dalam SEO itu mirip kehilangan uang di pasar saham
Sistemnya terlalu efisien dan dingin, jadi sama sekali tidak bereaksi terhadap keluhan individu
Pada akhirnya kita harus menyusun ulang strategi dan mendekatinya dengan memahami cara kerja pasar
Saran saya untuk @Gavriel, mungkin layak mempertimbangkan mendaftarkan merek dagang NanoClaw
Hanya dengan pendaftaran atau pengajuan saja, posisi daya tempur hukumnya terhadap pendaftar domain, Cloudflare, dan Google akan jauh lebih kuat
Dalam sengketa UDRP, ini mempermudah pembuktian bahwa pendaftaran lawan dilakukan dengan itikad buruk
Mengikuti tren Claw sempat populer, tapi sekarang situasinya malah jadi ada orang lain yang ikut menumpang lewat nama Anda
Ironis juga kalau mengingat proyek Claw sendiri sebelumnya ikut menumpang pada popularitas produk lain lalu mengganti nama
Saya juga berpikir begitu
Ini tampaknya bukan sekadar “situs jujur yang dirugikan penipu”, melainkan contoh seseorang yang tersesat dalam permainan tanpa akhir memperebutkan perhatian