OpenClaw menambahkan media pembuatan inferensi, bersamaan itu muncul celah berisiko tinggi dengan skor 9,8

Perangkat alat agen AI sumber terbuka OpenClaw dirilis pada tanggal 8 April 2026 versi 2026.4.7, menghadirkan pembaruan besar pada fitur seperti perluasan kemampuan penalaran, pembuatan media lintas penyedia, serta pemulihan basis pengetahuan memori. Namun, pada waktu yang sama, perusahaan riset keamanan siber Blink mengungkapkan kerentanan berbahaya dengan tingkat keparahan setinggi 9.8/10, dan sekitar 63% instance OpenClaw yang terhubung ke jaringan berjalan tanpa autentikasi sama sekali.

Ringkasan Fitur Inti Baru Versi 2026.4.7

Pembaruan versi ini mencakup empat modul inti utama: penalaran, pembuatan media, memori, dan otomatisasi.

Fitur Tambahan Utama dan Peningkatan

Fungsi Penalaran OpenClaw: sebagai simpul alur kerja penalaran yang terpadu, mendukung kemampuan penalaran yang digerakkan oleh penyedia untuk tugas lintas model, media, jaringan, dan penyematan

Pergantian Otomatis Pembuatan Media: secara default mendukung failover otomatis antara penyedia terautentikasi gambar, musik, dan video; saat penyedia beralih, niat pembuatan asli dipertahankan, lalu ukuran, rasio aspek, resolusi, dan durasi dipetakan otomatis ke opsi yang paling dekat didukung; serta ditambahkan dukungan video ke video yang sensitif mode (Video-to-Video)

Pemulihan Knowledge Base Memori (Memory/Wiki): membangun kembali tumpukan teknologi basis pengetahuan memori bawaan, mencakup plugin, alat command-line, dan rangkaian alat aplikasi untuk kueri sinkron, serta kemampuan pencarian ringkasan terkompilasi dengan bidang deklarasi terstruktur dan bidang bukti

Plugin Masuk Webhook: menambahkan plugin masuk Webhook bawaan, mendukung sistem otomatisasi eksternal untuk berbagi endpoint kunci bersama secara independen melalui berbagai rute, serta membangun dan menggerakkan alur proses tugas terikat

Dukungan Model Baru: Arcee, Gemma 4, dan model visual Ollama secara resmi dimasukkan ke daftar dukungan

Kerentanan Berbahaya CVE-2026-33579: Minggu ke-6, Enam Kali, Desain Dasar Tidak Diperbaiki

Peneliti Blink mengungkapkan bahwa mekanisme operasi CVE-2026-33579 jelas dan konsekuensinya serius: sistem pemasangan (pairing) perangkat OpenClaw tidak memverifikasi apakah pihak yang mengirim permintaan akses yang tidak disetujui benar-benar memiliki otorisasi. Ini berarti penyerang yang memiliki hak pairing dasar hanya perlu meminta peningkatan hak administrator agar permintaannya dapat disetujui—pintu dibuka dari dalam.

Data investigasi Blink menunjukkan bahwa sekitar 63% instance OpenClaw yang terhubung ke jaringan berjalan tanpa autentikasi apa pun; penyerang di lingkungan penerapan ini dapat langsung melancarkan serangan tanpa memerlukan akun apa pun, lalu secara bertahap ditingkatkan hingga level administrator.

Patch dirilis pada 5 April (hari Minggu), tetapi daftar CVE resmi baru muncul pada hari Selasa, sehingga jeda dua hari membuat penyerang memperoleh kesempatan lebih dulu sebelum sebagian besar pengguna menyadari perlunya pembaruan.

Masalah yang lebih mendalam adalah bahwa kerentanan ini merupakan kerentanan terkait pairing keenam yang diungkap dalam waktu enam minggu pada OpenClaw, semuanya merupakan variasi dari cacat desain sistem otorisasi lapisan dasar yang sama. Setiap kali perbaikan dilakukan, hanya menyasar secara titik-ke-titik pada kerentanan spesifik, bukan melakukan perancangan ulang mendasar pada seluruh arsitektur otorisasi; pola ini menunjukkan adanya risiko struktural bahwa kerentanan sejenis masih mungkin terus muncul.

Saran Penggunaan: Langkah Tanggap Darurat untuk Pengguna yang Sudah Ada

Pengguna yang masih menggunakan OpenClaw harus segera memperbarui ke versi 2026.3.28. Jika dalam satu minggu terakhir Anda menggunakan versi lama, Ars Technica dan Blink sama-sama menyarankan agar instance terkait diperlakukan sebagai mungkin sudah disusupi, serta melakukan audit menyeluruh terhadap log aktivitas untuk mengidentifikasi catatan persetujuan perangkat yang mencurigakan. Pendiri OpenClaw, Peter Steinberger, sebelumnya sudah memublikasikan peringatan di GitHub: “Tidak ada pengaturan yang ‘sepenuhnya aman’.” Cara menyeimbangkan kenyamanan fungsi dengan risiko keamanan adalah pertimbangan inti yang harus dihadapi setiap pengguna OpenClaw saat ini.

Pertanyaan yang Sering Diajukan

Apa fungsi baru utama versi OpenClaw 2026.4.7?

Pembaruan ini menambahkan fitur perluasan alur kerja penalaran, mendukung penalaran yang digerakkan oleh penyedia lintas model dan media; pergantian otomatis saat pembuatan media mengalami kegagalan (gambar, musik, video); pemulihan tumpukan teknologi knowledge base memori bawaan; serta penambahan plugin masuk Webhook. Pada saat yang sama, ditambahkan juga dukungan untuk model visual Arcee, Gemma 4, dan Ollama.

Mengapa kerentanan CVE-2026-33579 begitu berbahaya?

Skor tingkat keparahan CVE-2026-33579 adalah 9.8/10, karena memungkinkan pihak dengan tingkat hak terendah menyetujui permintaan peningkatan hak administrator mereka sendiri, sehingga sepenuhnya mengambil alih sistem. Sekitar 63% instance OpenClaw yang terhubung ke jaringan tidak memiliki perlindungan autentikasi apa pun, sehingga penyerang dapat melancarkan serangan tanpa kredensial apa pun. Penundaan publikasi CVE selama dua hari semakin memperlebar jendela serangan.

Apakah ini berarti ada masalah mendasar pada arsitektur keamanan OpenClaw?

Berdasarkan analisis Blink, CVE-2026-33579 adalah kerentanan terkait pairing keenam yang meletus dalam enam minggu pada OpenClaw, semuanya merupakan variasi dari cacat desain sistem otorisasi lapisan dasar yang sama. Setiap perbaikan dilakukan hanya berupa perbaikan kerentanan yang spesifik, bukan perancangan ulang mendasar terhadap seluruh sistem otorisasi; para peneliti keamanan siber menyatakan kekhawatiran akan hal ini.