Apa Itu OpenClaw? Panduan untuk Asisten AI Sumber Terbuka

Kebanyakan alat AI menghabiskan waktu untuk menjawab pertanyaan. OpenClaw dibangun untuk melakukan tindakan. Kesenjangan itulah yang mendorongnya melampaui Linux di daftar bintang sepanjang masa GitHub dalam hitungan bulan setelah diluncurkan.

Apa sebenarnya OpenClaw: runtime self-hosted yang menghubungkan model AI ke terminal, file, browser, dan aplikasi pesan Anda. Kirim pesan WhatsApp dan ia bisa menelusuri disk Anda, menjalankan skrip shell, memeriksa halaman web, lalu membalas di utas yang sama. Chatbot tidak melakukan hal-hal itu.

Janji produk terdengar lebih rapi daripada kenyataannya. OpenClaw memerlukan penyiapan teknis, catatan keamanannya pada 2026 mencakup insiden serius, dan registri keahlian publiknya sempat diserang kampanye malware terkoordinasi. Hal-hal ini patut diketahui sejak awal.

Apa Itu OpenClaw?

OpenClaw gratis, sumber terbuka (lisensi MIT), dan dirancang untuk berjalan di perangkat keras milik Anda. OpenClaw dibuat oleh Peter Steinberger, pengembang Austria yang dikenal lewat PSPDFKit, dan diluncurkan pada November 2025 sebagai Clawdbot. Anthropic mengirim keluhan merek dagang atas namanya, lalu berubah menjadi Moltbot pada 27 Januari 2026, kemudian menjadi OpenClaw tiga hari kemudian karena, menurut kata Steinberger, "Moltbot tidak pernah enak diucapkan." Maskot lobster, Molty, tetap bertahan di semua pergantian nama.

OpenClaw menghubungkan model ke alat lokal. Gambar oleh Penulis.

Satu hal yang sering membuat orang keliru sejak awal: OpenClaw bukan model AI. Ia terhubung ke penyedia yang dikonfigurasi terpisah, cloud atau lokal, dan model itulah yang melakukan penalaran sementara OpenClaw menangani perutean, memori, dan eksekusi alat.

Intinya adalah layanan Node.js bernama Gateway. Ia berjalan di latar belakang pada port 18789, merutekan pesan antara aplikasi chat Anda dan model, menjalankan pemanggilan alat, dan menyimpan kunci API Anda sehingga aplikasi yang terhubung tidak menyentuhnya secara langsung.

Semua ini membuatnya sangat berbeda dari chatbot. OpenClaw dapat menjalankan perintah shell, membaca dan menulis file, mengendalikan browser, dan menjalankan tugas terjadwal saat Anda tidak memperhatikannya.

Mengapa OpenClaw Menjadi Populer

OpenClaw melonjak dari 9.000 bintang GitHub pada hari pertama menjadi lebih dari 195.000 dalam 66 hari, kabarnya 18 kali lebih cepat daripada Kubernetes.

Para pengembang telah lama menginginkan ini: asisten yang menyelesaikan tugas alih-alih sekadar menjawab, berjalan di perangkat keras Anda sendiri, dan terhubung ke aplikasi.

Pada April 2026, proyek ini melampaui 346.000 bintang. Steinberger mengumumkan ia bergabung dengan OpenAI pada 15 Februari 2026, dan proyeknya bergerak menuju struktur yayasan dengan dukungan OpenAI. Lisensi tetap MIT dan dimiliki komunitas, bukan diakuisisi dalam arti tradisional.

Pendapat beragam. Sebagian pengguna menyukai idenya. Yang lain menemui masalah penyiapan, keandalan, dan biaya. Otomasi kompleks lebih sering mengecewakan daripada memberi hasil, dan biaya token sering mengejutkan. Juga, penyiapannya tidak ramah pemula.

Cara Kerja OpenClaw: Gateway, Tools, dan Agent Loop

Semuanya dirutekan melalui Gateway, dan satu titik kendali ini yang membedakan OpenClaw dari sekadar pembungkus model.

Saat Anda mengirim pesan, Gateway mengambilnya dari kanal mana pun yang Anda gunakan, menambahkan konteks dari file memori agen dan keahlian yang dimuat, lalu meneruskan paketnya ke model AI yang dikonfigurasi. Jika model ingin melakukan tindakan (menjalankan perintah, mengunjungi halaman, membaca file), ia memberi sinyal niat tersebut kembali ke Gateway. Gateway menjalankan aksinya di sistem host, atau di dalam sandbox jika Anda menyiapkannya, lalu mengembalikan hasilnya. Ia dapat merangkai beberapa langkah sebelum menghasilkan balasan akhir.

Model tidak pernah berkomunikasi langsung dengan sistem file atau terminal Anda.

Semua tindakan dirutekan melalui Gateway. Gambar oleh Penulis.

Memori dan penjadwalan

OpenClaw menyimpan memori dalam file Markdown biasa di ruang kerja agen (~/.openclaw/workspace). File utama, MEMORY.md, menyimpan fakta dan preferensi yang tahan lama yang dimuat di awal setiap sesi. SOUL.md mendefinisikan kepribadian dan nada. AGENTS.md menyimpan aturan perilaku. Karena model membaca semuanya di awal sesi, suntingan yang Anda buat akan bertahan lintas restart.

Penjadwalan berjalan di dua jalur. Heartbeat adalah check-in berkala di sesi utama, setiap 30 menit secara bawaan untuk sebagian besar penyedia. Daftar periksa HEARTBEAT.md memberi tahu agen apa yang harus ditinjau setiap kali. Cron job berjalan pada waktu tertentu di sesi terisolasi, yang Anda perlukan saat waktu benar-benar penting, seperti laporan harian. Keduanya menghabiskan token pada setiap eksekusi, jadi (tips) tugas tanpa batas sebaiknya memiliki kondisi penghentian yang jelas.

Model dan kanal yang didukung

OpenClaw tidak terikat pada satu penyedia model. Ia bekerja dengan Anthropic, OpenAI, Google, AWS Bedrock, dan server lokal melalui Ollama atau LM Studio. Model lokal membutuhkan jendela konteks minimal 64.000 token karena banyaknya konteks yang disuntikkan OpenClaw di awal sesi. Di sisi kanal, ia mendukung WhatsApp, Telegram, Discord, Slack, Google Chat, Signal, iMessage, Matrix, Microsoft Teams, dan lainnya.

Use Case OpenClaw: Apa yang Benar-Benar Bisa Dilakukan

Seberapa bermanfaatnya bergantung pada seberapa ketat Anda mendefinisikan tugas. Permintaan yang luas mudah melenceng. Tugas yang sempit, berulang, dengan input jelas cenderung berhasil.

• Produktivitas pribadi: Use case yang paling andal dilaporkan adalah ringkasan pagi: tugas terjadwal via heartbeat yang menarik email terbaru, acara kalender, dan berita, lalu mengirimkan ringkasannya ke ponsel Anda.
• Alur kerja pengembang: OpenClaw dapat memeriksa repositori, menjalankan skrip build, memeriksa log, dan mengelola pull request melalui GitHub CLI atau server MCP. Gunakan token yang dibatasi ruang lingkup repositori dengan tanggal kedaluwarsa. Akses shell yang luas bermanfaat namun juga sumber paling mungkin terjadi penghapusan file tidak sengaja atau kebocoran kredensial dari file .env yang kebetulan berada dalam cakupan.
• Otomasi web: Agen dapat menelusuri halaman, mengekstrak data, dan berinteraksi dengan antarmuka browser melalui Chrome DevTools Protocol. Yang tidak bisa dilakukan adalah membedakan halaman nyata dan halaman dengan instruksi berbahaya yang disisipkan di HTML. Setelah Anda memberi agen akses browser, konten eksternal menjadi permukaan serangan. Saya akan membahas kasus terdokumentasi tentang hal ini di bagian keamanan.
• Manajemen file dan dokumen: Bekerja baik saat akar ruang kerja adalah folder khusus tanpa apa pun yang sensitif. Pola kegagalannya dapat ditebak: beri akses ke direktori home Anda, dan pada akhirnya ia akan membaca sesuatu yang tidak Anda maksudkan untuk dibagikan.
• Otomasi terjadwal: Andal untuk tugas berulang yang terdefinisi dengan baik. Satu kasus terdokumentasi mencapai biaya API beberapa ribu dolar dalam sehari dari tugas tanpa batas yang berjalan tanpa batas token. Tetapkan batas sebelum Anda menjadwalkannya.

Keahlian OpenClaw dan ClawHub: Apa yang Perlu Diketahui dan Dihindari

Keahlian (skills) adalah cara pengguna memperluas OpenClaw melampaui kemampuan bawaannya. Ini juga yang membuat proyek terkena serangan rantai pasok serius di ruang agen open-source.

Apa itu skill

Skill adalah folder yang berisi file SKILL.md dengan frontmatter YAML dan isi Markdown. Frontmatter menyatakan nama skill, deskripsi, biner yang diperlukan, dan variabel lingkungan. Di bawahnya, isi Markdown berupa bahasa natural: instruksi yang diikuti agen saat ia memutuskan skill tersebut cocok untuk tugas saat ini.

Folder opsional references/ menyimpan dokumentasi API, dan folder opsional scripts/ menyimpan skrip pembantu. Karena skill berupa teks bukan kode terkompilasi, Anda bisa membacanya sebelum menjalankan apa pun.

Setiap skill mengikuti format dua bagian ini. Gambar oleh Penulis.

Skill mengikuti standar terbuka AgentSkills, sehingga formatnya juga berfungsi dengan Claude Code, Cursor, dan alat serupa. Dalam praktiknya, sebagian besar skill di ClawHub ditulis khusus untuk model gateway OpenClaw dan mengandalkan akses alat yang tidak diekspos oleh lingkungan lain tersebut.

ClawHub, registri publik di clawhub.ai, menggunakan pencarian semantik berbasis vektor, sehingga Anda dapat menemukan skill dengan kueri bahasa natural. Publikasi memerlukan akun GitHub yang setidaknya berusia seminggu. Registri ini tumbuh hingga lebih dari 44.000 skill pada awal 2026.

Registri skill ClawHub, diorganisasi menurut kategori. Gambar oleh Penulis.

Serangan rantai pasok ClawHavoc

Pada 1 Februari 2026, peneliti Koi Security Oren Yomtov mengaudit 2.857 skill di ClawHub dan menemukan 341 berbahaya, 335 di antaranya berasal dari satu kampanye terkoordinasi bernama ClawHavoc. Taktiknya rekayasa sosial: bagian "Prerequisites" palsu yang menyuruh pengguna menempelkan perintah shell. Di macOS payload-nya adalah Atomic macOS Stealer, yang mengambil sandi browser, entri keychain, dompet kripto, kunci SSH, dan data sesi Telegram.

Jumlahnya terus naik. Pada pertengahan Februari registri melampaui 10.700 skill, dan analisis selanjutnya menempatkan total berbahaya lebih dari 1.000 di banyak akun. Audit yang lebih luas terhadap 31.000+ skill menandai sekitar 7,6% berisiko, dan pemindaian Snyk menemukan 36% mengandung injeksi prompt yang terdeteksi.

ClawHub kini menjalankan pemindaian otomatis dan memiliki integrasi VirusTotal, yang menangkap banyak hal, namun injeksi prompt dalam teks instruksi masih bisa lolos. Baca SKILL.md sebelum memasang apa pun, dan jika ia menyuruh Anda menempelkan perintah atau memasang biner di luar proses normal, lewati. Jangan langsung menumpuk skill pihak ketiga pada hari pertama. Mulai dengan yang paling minim Anda butuhkan dan jauhkan skill yang tidak dikenal dari file dan akun sensitif.

Perbandingan skill OpenClaw dengan Claude Skills

Kedua format menggunakan struktur SKILL.md yang sama. Perbedaannya ada pada tempat eksekusi skill. Claude Skills berjalan di infrastruktur terkelola Anthropic. Skill OpenClaw berjalan di mesin Anda, di dalam batas kepercayaan penuh agen, dengan akses ke file lokal, perintah shell, dan sesi browser. Kesenjangan radius dampak inilah mengapa risiko rantai pasok lebih penting di sini dibandingkan lingkungan hosted.

Cara Menyiapkan OpenClaw

Langkah di bawah ini mencakup alur tingkat tinggi. Jika Anda menginginkan tangkapan layar dan perintah langkah demi langkah, tutorial OpenClaw kami memandu seluruh proses dari nol.

Sebelum memasang

Anda memerlukan Node.js 24 (Node 22.19 juga berfungsi) dan kunci API dari penyedia model yang didukung atau server model lokal yang memenuhi minimal konteks 64.000 token yang saya sebutkan sebelumnya. Di Windows, WSL2 dengan Ubuntu adalah jalur yang direkomendasikan; Windows native memiliki keterbatasan terkait daemon gateway. Kebutuhan perangkat keras ringan untuk penggunaan dasar, meski penyiapan model lokal cerita lain.

Satu keputusan yang harus dibuat lebih dulu: akan berjalan di mana? Mesin lokal baik untuk bereksperimen, tetapi untuk apa pun yang selalu aktif, gunakan VPS khusus atau mesin terpisah, bukan workstation utama Anda.

Alur penyiapan tingkat tinggi

curl -fsSL https://openclaw.ai/install.sh | bash

Lalu jalankan wizard onboarding:

openclaw onboard --install-daemon

Ini akan memandu pemilihan penyedia model, penyiapan kunci API, dan konfigurasi Gateway. Setelah selesai, pastikan Gateway berjalan:

openclaw gateway status

Lalu buka dasbor:

openclaw dashboard

Kirim pesan uji dari kanal berisiko rendah sebelum menghubungkan apa pun yang sensitif.

Control UI pada port 18789. Gambar oleh Penulis.

Bawaan aman yang perlu segera dikonfigurasi

Dua perintah firewall ini paling penting. Jalankan sebelum Anda melakukan apa pun:

openclaw config set gateway.bind localhost
sudo ufw deny 18789/tcp

Yang pertama mengikat Gateway hanya ke loopback. Yang kedua memblokir port secara eksternal. Lebih dari 220.000 instance OpenClaw sempat dapat diakses publik di internet pada puncaknya, sebagian besar karena pengguna melewatkan langkah ini setelah mengikuti tutorial lama. Gunakan profil browser khusus untuk otomasi browser apa pun. Jalankan openclaw security audit --deep setelah memasang skill apa pun. Gunakan token autentikasi. Jauhkan file sensitif dari akar ruang kerja.

Berjalan secara lokal tidak berarti berjalan dengan aman. Instance lokal dengan akses shell, akses file, dan aplikasi pesan yang terhubung adalah permukaan serangan nyata terlepas dari di mana model berjalan.

Risiko Keamanan OpenClaw

Risiko ini spesifik untuk OpenClaw, dan beberapa insiden di bawah ini dieksploitasi terhadap pengguna nyata.

Catatan CVE

CVE-2026-25253 (CVSS 8.8) adalah yang dieksploitasi secara aktif. Sebelum versi 2026.1.29, tautan berbahaya dapat diam-diam mengalihkan koneksi WebSocket antarmuka kontrol ke server yang dikendalikan penyerang. Token autentikasi dan kunci perangkat korban dikirim otomatis saat handshake, sehingga satu klik pada tautan yang direkayasa sudah cukup. Penyerang yang memegangnya memiliki kendali penuh atas Gateway dan dapat menjalankan perintah shell sewenang-wenang. Patch 2026.1.29 menambahkan prompt konfirmasi untuk menutup celah ini.

CVE-2026-32922 (CVSS 9.9) diungkap pada 29 Maret 2026. Penelepon dengan cakupan token minimal bisa eskalasi ke akses admin penuh dan mencapai eksekusi kode jarak jauh di semua node terhubung. Ditambal di 2026.3.11. Jika instance Anda lebih lama dari 2026.3.11, perbarui sekarang. Lebih dari 60 advisori keamanan telah diajukan terhadap proyek ini sejak peluncuran.

Eksposur internet dan injeksi prompt

Seperti disebutkan sebelumnya, lebih dari 220.000 instance sempat terekspos publik pada puncaknya, dengan lebih dari 17.500 rentan terhadap kelas serangan CVE-2026-25253. Bawaan saat ini terikat ke loopback, tetapi konfigurasi lama dan tutorial komunitas tidak selalu mencerminkan hal itu.

Injeksi prompt adalah masalah yang lebih halus. OpenClaw membaca halaman web, email, dokumen, dan log sebagai bagian dari pekerjaannya. Jika ada yang berisi instruksi berbahaya, agen bisa mengikutinya. Studi kasus Promptfoo dari Maret 2026 menunjukkan agen memeriksa apa yang bisa diaksesnya, membaca file lokal, menulis file, dan mengirim pesan tanpa izin, semua dipicu hanya dengan mengunjungi satu halaman web. Ini berhasil karena penjelajahan, akses file, dan pengiriman pesan keluar berbagi satu batas kepercayaan tanpa pemisahan.

Lebih buruk lagi, instruksi dari sumber berbahaya yang ditanam di SOUL.md atau AGENTS.md bertahan lintas sesi dan restart. Agen membawanya terus tanpa pemicu eksternal apa pun.

Cara mengurangi risiko

Sebagian besar berupa bawaan aman yang disebut sebelumnya: perbarui secara rutin, jaga Gateway di localhost dengan port terblokir, gunakan token autentikasi, simpan file sensitif di luar ruang kerja, dan audit setelah perubahan. Gunakan sandbox Docker untuk tugas yang menyentuh input eksternal, gunakan token API berbutir halus dengan tanggal kedaluwarsa, dan perlakukan SOUL.md serta AGENTS.md sebagai file konfigurasi yang Anda pantau, bukan teks yang diabaikan.

Output audit setelah pemasangan skill. Gambar oleh Penulis.

OpenClaw bukan berisiko karena ia sumber terbuka. Ia berisiko karena dapat melakukan tindakan berprivileg jika Anda mengonfigurasinya demikian.

Apakah OpenClaw Layak? Penilaian yang Jujur

Bagian ini adalah penilaian pribadi saya, bukan klaim faktual. Agen yang melakukan tindakan alih-alih sekadar menjawab adalah kategori berbeda dari chatbot, dan OpenClaw adalah contoh yang jelas.

Apakah ini layak sangat bergantung pada siapa penggunanya. Pengembang yang nyaman dengan alat terminal, log, pemantauan API, dan sandboxing bisa membuatnya berguna dalam alur kerja yang sempit. Seperti yang saya bahas sebelumnya, penyiapan yang bertahan adalah yang sempit. Yang gagal adalah ketika seseorang menyambungkan semua alat, memasang belasan skill tanpa membacanya, dan membiarkan heartbeat berjalan pada prompt tanpa batas, berharap perilaku baik.

Penilaian saya: Otomasi kompleks bisa memakan biaya pemeliharaan lebih besar daripada penghematan, dan use case paling andal mungkin hanya ringkasan berita harian. Itu imbal hasil tipis untuk upaya penyiapan. Kerangka pikir yang tepat adalah infrastruktur, bukan asisten. Perlakukan demikian, mulai kecil, dan jaga batas ketat. Jika Anda ingin aplikasi konsumen yang cerdas, ini belum saatnya.

OpenClaw vs. ChatGPT, Claude, Cursor, dan Zapier

ChatGPT dan Claude adalah antarmuka chat tanpa status (stateless): tidak ada tugas terjadwal yang persisten, tidak ada akses file lokal secara bawaan.

Claude Code dan Cursor dibatasi pada pengembangan perangkat lunak di dalam repositori; mereka lebih baik dalam kode dibanding OpenClaw, tetapi hanya itu yang mereka lakukan. Claude Code juga menambahkan fitur penjadwalan berbasis cloud bernama Routines pada April 2026, yang mencakup sebagian dari apa yang dilakukan HEARTBEAT OpenClaw tanpa beban infrastruktur.

Zapier dan n8n adalah alat alur kerja deterministik di mana setiap langkah telah ditentukan, yang membuatnya lebih mudah diaudit namun kurang mampu menangani permintaan yang samar dibanding agen yang menafsirkan bahasa natural.

Satu kerangka pikir dari komunitas 2026 yang berguna di sini: OpenClaw sebagai lapisan penalaran untuk tugas ambigu, n8n atau Zapier sebagai lapisan eksekusi untuk tugas bervolume tinggi dan dapat diprediksi, dihubungkan melalui webhook. Keduanya tidak selalu bersaing.

Siapa yang Cocok Menggunakan OpenClaw

Pengembang yang mengotomatiskan alur kerja teknis berulang dan peneliti yang mempelajari agen pengguna alat adalah kecocokan paling jelas. Pengguna homelab yang sudah mengelola layanan self-hosted akan menemukan penyiapannya familier.

Siapa yang Sebaiknya Menghindari OpenClaw?

Siapa pun yang tidak nyaman dengan perintah terminal, izin file, dan manajemen kunci API sebaiknya menunggu. Penyiapannya tidak ramah pemula.

Juga, siapa pun yang menangani file sensitif tanpa lingkungan sandbox sebaiknya menunda. Tim dengan persyaratan kepatuhan mungkin membutuhkan alternatif terkelola seperti AWS Bedrock Agents. Dan jika Anda tidak bersedia memeriksa kode skill komunitas sebelum memasang, sebaiknya jangan jalankan skill ClawHub di mesin dengan kredensial nyata di dalamnya.

Kesimpulan

OpenClaw penting karena menunjukkan seperti apa agen AI personal ketika bisa melakukan sesuatu: bukan chatbot yang lebih pintar, melainkan sistem dengan akses ke file Anda, shell Anda, browser Anda, dan aplikasi pesan Anda.

Risikonya nyata karena alasan yang sama. Akses yang memungkinkan ringkasan pagi atau alur kerja tinjauan PR adalah akses yang sama yang diubah ClawHavoc menjadi pencurian kredensial.

Mulai dengan satu tugas. Jalankan di lingkungan terisolasi. Tetapkan batas. Seperti disebutkan sebelumnya, tinjau skill sebelum memasangnya. OpenClaw bukan produk yang Anda pasang lalu lupakan. Ini adalah infrastruktur, dan memperlakukannya sebagai infrastruktur sejak awal adalah cara agar eksperimen tidak berubah menjadi insiden.

Untuk bacaan terkait, panduan proyek OpenClaw dan panduan keahlian ClawHub kami membahas apa yang sedang dibangun orang. Kursus AI-Assisted Coding for Developers mencakup keterampilan agen yang lebih luas.