Openclaw melanda selama empat bulan berturut-turut, telah menyebabkan kerugian pengguna senilai jutaan dolar

Pada tahun 2026, banyak orang menyebut tahun ini sebagai Tonggak Awal Agentic Finance. Melalui OpenClaw, Agent dapat melakukan arbitrase otomatis, trading, dan menjalankan operasi DeFi yang kompleks, seolah-olah menjadi mesin cetak uang pribadi bagi pengguna.

Namun, fantasi itu cepat hancur.

Pada bulan Februari, karyawan OpenAI Nik Pash menggunakan framework OpenClaw untuk mengembangkan agen perdagangan kripto berjudul “Lobstar Wilde”. Saat menangani sebuah pesan bantuan dari netizen (hanya membutuhkan biaya medis 4 SOL), karena kesalahan parsing jumlah, agen tersebut langsung memindahkan seluruh kepemilikan 52.430.000 token LOBSTAR yang dimilikinya sekali kirim.

Saat itu, nilai pasar sekitar 250.000 dolar AS; setelah harga token berikutnya naik, nilainya mendekati 600.000 dolar AS. Dalam waktu 15 menit setelah pemindahan, seluruhnya langsung dijual habis, menghasilkan uang tunai aktual sekitar 40.000 dolar AS. Namun, kerugian keseluruhannya sudah mencapai puluhan hingga ratusan ribu dolar AS. Ini adalah kasus khas dari eksekusi mandiri AI yang tidak terkendali: bukan peretasan, bukan celah pada smart contract—melainkan Agent sendiri “memahami keliru”, lalu mengirimkan semua uang keluar.

Pihak pelaku kejahatan dengan cepat meniru logika tersebut. Menurut laporan PANews, pihak kejahatan memanfaatkan fitur eksekusi instruksi dari OpenClaw; dengan beberapa kalimat sederhana, mereka dapat membujuk AI agar secara mandiri menyelesaikan transfer dana dari dompet. Sudah ada pengguna yang “tanpa sadar aset senilai puluhan ribu” dicuri, termasuk stablecoin seperti USDT; catatan transaksi sulit dilacak, dan begitu izin diberikan, hampir tidak bisa dikembalikan. Asosiasi Keuangan Internet Tiongkok juga secara khusus menerbitkan pengumuman, menempatkan “risiko kehilangan dana” sebagai salah satu dari empat risiko inti OpenClaw, dan dengan tegas menyatakan bahwa di bawah hak akses yang tinggi, penyerang beritikad jahat dapat langsung mencuri dana pengguna.

Ini bukan bug pada suatu smart contract tertentu. Ini adalah risiko sistemik dari lingkungan tempat Agent berjalan. Satu kesalahan parsing, dan sebuah rangkaian kalimat yang disamarkan sebagai instruksi normal, dapat membuat Agent melakukan operasi on-chain yang tidak dapat dibatalkan untukmu, mengosongkan semuanya.

Agent semakin aktif di rantai, tetapi infrastruktur yang melindungi mereka, masih jauh dari siap.

Pasar melaju kencang, kecelakaan juga melaju kencang

Di awal tahun 2026, pangsa harian hidup (day-to-day) AI Agent di on-chain menembus 250.000, meningkat lebih dari 400% year-over-year. 68% protokol DeFi baru sudah menyematkan Autonomous AI Agent. Pasar global AI Agent diperkirakan tumbuh dari 7,84 miliar dolar AS menjadi 52,62 miliar dolar AS, CAGR 46,3%. Para analis memprediksi, pada akhir tahun AI Agent mungkin akan menanggung 30% volume transaksi on-chain.

Lihat juga sisi kecelakaannya.

Pada bulan November 2024, ada pengguna yang meminta ChatGPT menulis robot trading untuk Pump.fun. AI merekomendasikan sebuah API phishing; setelah 30 menit, dompet dikosongkan dengan kerugian $2.500. Pada bulan yang sama, terminal trading DEXX diretas karena penyerahan private key dalam bentuk teks polos (plaintext); sekitar $21.000.000 dicuri, hampir seribu orang menjadi korban, dan hingga kini kompensasinya masih jauh dari pasti.

Pada akhir tahun 2025, dompet DeBot robot trading diduga diretas; 250.000 USDT dipindahkan dengan cepat.

Pada bulan Maret 2026, library yang umum digunakan oleh pengembang AI, litellm (unduhan bulanan 95.000.000 kali), dimasuki racun melalui supply chain. Kode berbahaya secara otomatis mencuri dompet mata uang kripto dan kredensial cloud, dan Karpathy sendiri mengunggah postingan untuk memperingatkan.

Kasusnya terasa terpencar, tetapi inti masalah yang ditunjuk hanya satu:

Dari robot berbasis skrip ke Agent Trading, dibutuhkan fondasi dompet yang lebih matang. Sebuah jalur yang dalam beberapa tahun ke depan bernilai hingga ratusan miliar dolar AS, namun sebagian besar peserta justru memilih terjun ke permainan tanpa pelampung demi kenyamanan.

Itulah fakta yang kita lihat. Dan itu juga masalah yang ingin kita selesaikan bersama banyak pemimpin industri keamanan Web3.

Apa itu Claw Wallet?

Jika Metamask adalah perwakilan dompet To C, dan Privy adalah perwakilan dompet To B, maka target Claw Wallet adalah menjadi dompet To A yang paling mudah digunakan: sebuah dompet all-in-one yang mendukung aktivitas otonom Agent, sekaligus memastikan infrastruktur pembayaran yang aman.

Isolasi berbasis pecahan: Mengisolasi private key adalah langkah dasar. Namun Claw Wallet melangkah lebih jauh—melalui teknologi key sharding yang telah teruji—aset dikelola bersama oleh Agent, strategi risk-control, dan pengguna, ditambah cadangan redundan, sehingga memberikan toleransi kesalahan tambahan terhadap bencana.

Keamanan interaksi: Pengguna dapat menyesuaikan skema risk-control, melakukan kontrol presisi terhadap alamat pengiriman, alamat interaksi, jumlah, frekuensi transaksi, dan strategi penandatanganan. Pengguna non-profesional pun tidak perlu khawatir—skema default yang ketat secara otomatis akan memblokir smart contract berbahaya dan signature phishing.

Ramah pengguna: Mendukung berbagai cara pembuatan; Agent bisa diinstal sepenuhnya secara satu klik secara mandiri, dan juga mudah dihubungkan dengan pengguna manusia. Untuk skenario high-frequency trading dan pengambilan informasi, menyediakan mode otomatis sepenuhnya dan SDK—pengguna tingkat lanjut dapat mengintegrasikan dengan cepat di berbagai skenario.

Mengapa kita melakukan hal yang lebih sulit?

Jujur saja, saat ini banyak dompet melakukan begini: menyerahkan private key langsung ke Agent, lalu tambahkan white list. Kami sangat tidak menyarankan penggunaan skema-skemanya itu.

Dompet yang lebih mengutamakan keamanan setidaknya melakukan isolasi private key dan eksekusi di sandbox; arah itu pada dasarnya kami setujui. Tapi bagi kami, itu belum cukup.

Alasannya sederhana: Perilaku Agent bersifat dinamis.

Ia tidak melakukan operasi yang sama setiap hari; ia mengambil keputusan berbeda berdasarkan kondisi pasar, status on-chain, dan parameter strategi. Sebuah smart contract jahat yang disusun dengan cermat sama sekali dapat melewati batasan aturan statis.

Keamanan private key hanyalah bagian paling dasar. Keamanan interaksi yang dinamis—itulah inti yang menentukan apakah Agent bisa menanggung risiko kehilangan aset.

Claw Wallet memilih untuk menerapkan risk-control di level strategi—memahami konteks perilaku Agent, lalu menilai sebelum eksekusi apakah transaksi ini masuk akal. Bukan menghentikan setelah kejadian, melainkan mencegah sejak awal.

Secara teknis, private key dipecah menjadi beberapa pecahan terenkripsi, masing-masing dipegang oleh sandbox, proses keamanan di backend, dan proses keamanan di sisi pengguna. Setiap operasi penandatanganan harus memenuhi dua kondisi sekaligus: verifikasi strategi lulus + konfirmasi pengguna.

Sederhananya: seberapa cepat Agent-mu berlari di luar sana, kuncinya selalu ada di tanganmu.

Berbeda skenario, berbeda perlindungan

Claw Wallet bukanlah satu paket solusi universal. Untuk beberapa skenario on-chain tempat Agent paling aktif, kami merancang secara spesifik:

Otomatisasi hasil DeFi: Agent memindahkan dana antar berbagai protokol dan memaksimalkan imbal hasil; risikonya ada pada izin yang terlalu besar dan celah kontrak. Cara Claw Wallet: risk-control yang dipresisi + circuit breaker untuk perilaku abnormal—Agent hanya dapat beroperasi dalam batas protokol yang kamu setujui; jika perilakunya menyimpang, langsung dihentikan.

Kontrak perpetual/auto-trading: Persyaratan untuk keamanan private key sangat tinggi; setelah kebocoran, kerugian terjadi dalam hitungan detik. Claw Wallet menggunakan manajemen key terisolasi, tanpa menyimpan private key dalam bentuk teks polos, dan tanpa mentransmisikannya dalam bentuk teks polos; penandatanganan diselesaikan di lingkungan yang terkendali.

Operasi aset lintas-chain: Contract bridging adalah area yang sering memicu insiden keamanan. Claw Wallet mengenali maksud transaksi sebelum penandatanganan, secara otomatis memblokir kontrak berbahaya yang sudah dikenal dan permintaan signature yang mencurigakan.

Mikropembayaran on-chain/settlement antar Agent: Risiko untuk frekuensi tinggi dan nilai kecil ada pada “kerugian yang terasa tanpa disadari”. Setiap transaksi tidak besar, tetapi jika dikumpulkan menjadi banyak. Claw Wallet menyediakan pemantauan real-time dan peringatan berbasis ambang; frekuensi abnormal atau aliran dana abnormal memicu notifikasi segera.

Saatnya

Setiap hari, lebih dari 250.000 Agent aktif beroperasi di on-chain, menggerakkan dana nyata dan menghasilkan pendapatan nyata. Angka ini masih terus dipacu pertumbuhannya.

Namun pertumbuhan tidak sama dengan kematangan. Agent yang tidak memiliki jaminan keamanan bukan sedang membantu menciptakan nilai bagimu, melainkan sedang membantu mengumpulkan risiko.

Kamu menghabiskan waktu melatihnya, mengonfigurasinya, dan membuatnya belajar menghasilkan uang di on-chain—sekarang, saatnya memberinya rumah yang benar-benar aman.

Hari ini, Claw Wallet resmi diluncurkan.

Instalasi situs resmi:

Saat ini, Claw Wallet telah menjalin kerja sama mendalam dengan banyak institusi, termasuk PIN AI, 0G Labs, Haedal, Navi Protocol, Clawdi, dan lain-lain, dengan komitmen untuk menjaga keamanan on-chain AI Agent secara menyeluruh.

Bawa Agent-mu dengan Claw Wallet, berangkat dengan tenang.

Tentang Claw Wallet

Dompet keamanan yang benar-benar dibangun untuk AI Agent

ClawWallet adalah dompet keamanan Web3 profesional untuk AI Agent, mendukung deployment dompet multi-chain self-custody selesai dalam 3 detik, melalui mesin risk-control berbasis strategi memastikan aset kripto digunakan dengan aman dalam batas otorisasi, dan dibuat khusus untuk skenario workflow on-chain Agent berisiko tinggi.