Skill AI agent yang lolos pemindaian statis belum tentu aman. Phone agent perlu izin yang tepat, konfirmasi tindakan, status terlihat, dan log yang bisa ditinjau.
Masalah yang dihadapi pengguna AI agent sekarang mirip dengan masalah lama di dunia aplikasi dan ekstensi: sebuah paket bisa terlihat rapi saat dipasang, tetapi berperilaku berbeda ketika dijalankan. Skill AI agent, plugin, tool package, atau add-on marketplace biasanya dinilai dari manifest, kode, dependensi, dan izin yang terlihat. Itu berguna, tetapi belum cukup. Jika sebuah skill dirancang untuk menyembunyikan perilaku berbahaya sampai kondisi tertentu terpenuhi, pemindaian statis dapat melewatkan bagian yang paling penting.
The Hacker News melaporkan pada 6 Juli 2026 tentang teknik SkillCloak yang digambarkan dapat membuat skill AI agent berbahaya lolos dari pemindai statis dengan pendekatan self-extracting packing. Laporan itu merujuk pada diskusi riset tentang SkillDetonate, yaitu pemeriksa yang lebih berfokus pada perilaku saat skill berjalan. Ini harus dibaca sebagai sinyal keamanan, bukan alasan panik. Tidak semua skill berbahaya, dan tidak semua pemindai gagal. Namun pesan praktisnya jelas: keamanan skill AI agent tidak boleh berhenti di tampilan instalasi.
Preprint Cloak and Detonate juga perlu dibaca hati-hati karena statusnya masih preprint. Angka bypass atau deteksi yang dilaporkan adalah hasil studi, bukan jaminan industri yang berlaku untuk semua platform. Tetap saja, topiknya penting karena AI agent sering diberi akses untuk membaca konteks, memanggil tool, dan membuat keputusan. Aturan keputusan bagi pengguna dan product team sederhana: hasil pemindaian bersih adalah titik awal, bukan bukti final bahwa sebuah skill aman.
Jika pemindaian statis melihat paket sebelum dijalankan, pemeriksaan saat berjalan melihat apa yang benar-benar dilakukan skill ketika agen bekerja. Apakah skill membaca file yang tidak diperlukan? Apakah ia mengirim data ke tujuan yang tidak dijelaskan? Apakah ia meminta tool tambahan setelah menerima konteks sensitif? Apakah ia mencoba menyisipkan instruksi baru ke dalam alur agen? Pertanyaan seperti ini tidak selalu terlihat dari manifest. Pemeriksaan saat berjalan perlu mengamati tindakan nyata, aliran data, dan perubahan izin dari waktu ke waktu.
Pendekatan ini biasanya melibatkan isolasi, pembatasan akses, pencatatan tindakan, dan analisis aliran informasi. Skill dapat dijalankan di lingkungan terbatas sebelum dipercaya lebih luas. Output dapat dibandingkan dengan input yang seharusnya. Tindakan yang menyentuh data sensitif dapat dihentikan untuk persetujuan. Saat membahas riwayat yang bisa ditinjau, pola seperti catatan izin agen AI menunjukkan bahwa catatan dan titik persetujuan bukan hanya untuk keluarga, tetapi juga untuk keamanan agen yang dapat bertindak.
Namun pemeriksaan saat berjalan juga bukan obat sempurna. Skill berbahaya dapat mencoba menunggu kondisi tertentu, menyamarkan niat, atau memanfaatkan konteks yang hanya muncul di produksi. Karena itu, keputusan keamanan perlu berlapis: pemindaian paket, isolasi, izin minimum, pengamatan perilaku, pembatasan data, konfirmasi tindakan, dan log. Semakin besar akses skill, semakin kuat pemeriksaan saat berjalan yang diperlukan.
Risiko plugin AI agent menjadi lebih serius ketika agen dapat bertindak di ponsel. Di laptop developer, skill berbahaya mungkin mencoba membaca file proyek atau token. Di ponsel, dampaknya bisa lebih personal: pesan, kontak, notifikasi, foto, lokasi, kalender, file, akun, dan pengaturan. Phone agent yang membantu pengguna bisa membuka aplikasi, menyiapkan balasan, membaca notifikasi yang diizinkan, atau mengubah setelan yang didukung. Jika skill yang dipakai tidak terkendali, tindakan kecil dapat berubah menjadi kebocoran data atau perubahan yang tidak diinginkan.
OWASP GenAI Security Project menyoroti kategori risiko seperti prompt injection, supply-chain vulnerabilities, insecure plugin design, excessive agency, dan sensitive information disclosure. Kategori ini relevan untuk phone agent karena instruksi berbahaya dapat masuk lewat konten, plugin dapat membawa dependensi yang tidak aman, dan agen yang diberi terlalu banyak wewenang dapat melakukan lebih dari yang dibutuhkan. Pembahasan agen AI berbasis cloud dan lokal juga penting ketika konteks ponsel diproses: data sensitif sebaiknya tidak bergerak lebih jauh dari yang diperlukan.
Android permissions memberi batas sistem untuk akses seperti lokasi, kamera, mikrofon, kontak, notifikasi, dan penyimpanan. Dokumentasi Android Developers tentang permissions menunjukkan bahwa kemampuan ini dikendalikan oleh sistem dan memiliki tingkat sensitivitas berbeda. Namun izin OS, konfirmasi pengguna, dan kontrol agen bukan hal yang sama. Sebuah aplikasi bisa memiliki permission tertentu, tetapi agen tetap perlu menjelaskan tindakan apa yang akan dilakukan dengan izin itu. Keamanan phone agent harus menggabungkan batas Android, izin aplikasi, dan keputusan manusia pada saat tindakan terjadi.
Model izin yang sehat dimulai dari prinsip paling sedikit akses. Skill tidak perlu membaca kontak jika tugasnya hanya meringkas notifikasi cuaca. Skill tidak perlu akses lokasi terus-menerus jika hanya membuat pengingat belanja. Skill tidak perlu kemampuan mengirim pesan jika cukup menyiapkan draf. Pada phone agent, izin harus dipersempit berdasarkan tugas, bukan diberikan luas karena agen terdengar pintar. Jika akses tidak jelas, default yang aman adalah meminta klarifikasi atau menolak tindakan.
Berikutnya adalah permintaan izin tepat waktu. Pengguna tidak perlu disodori semua izin saat instalasi. Yang lebih berguna adalah permintaan yang muncul ketika tindakan membutuhkan akses tertentu: membaca kontak, membuka pesan, membagikan file, mengubah pengaturan, atau memakai lokasi. Sebelum efek samping terjadi, seperti mengirim pesan atau mengubah setelan, pengguna harus melihat ringkasan tindakan dan memberi konfirmasi. Kontrol enterprise memang lebih luas daripada prompt izin konsumen, tetapi prinsip dari keamanan agen AI di perusahaan tetap relevan: akses perlu dibatasi, dicatat, dan ditinjau sesuai risiko.
Log tindakan menutup lingkaran. Setelah phone agent menjalankan tugas, pengguna perlu tahu skill apa yang terlibat, data apa yang dipakai, aplikasi apa yang disentuh, izin apa yang diminta, dan hasil apa yang terjadi. Untuk tugas yang bisa dibatalkan, seperti pengingat atau draf, harus ada jalan untuk mengoreksi. Untuk tugas yang sulit dibatalkan, seperti pesan yang sudah terkirim, konfirmasi sebelum aksi menjadi lebih penting. Pemeriksaan izin saat berjalan bukan sekadar dialog izin; ia adalah rangkaian keputusan dari awal tugas sampai catatan akhir.
Pengguna tidak perlu menjadi analis malware untuk membuat keputusan lebih baik. Mulailah dari asal skill. Apakah skill berasal dari pembuat yang jelas? Apakah deskripsinya menjelaskan data apa yang dipakai dan tindakan apa yang dilakukan? Apakah izin yang diminta masuk akal untuk tugasnya? Skill kalkulator yang meminta akses kontak perlu dicurigai. Skill ringkasan dokumen yang mengirim data ke layanan yang tidak dijelaskan juga perlu ditolak atau dibatasi.
Langkah kedua adalah melihat perilaku saat berjalan. Apakah agen menunjukkan status tugas? Apakah ia berhenti sebelum tindakan sensitif? Apakah ia membedakan antara menyiapkan draf dan mengirim pesan? Apakah ia meminta izin baru hanya saat diperlukan? Apakah pengguna bisa melihat log setelah selesai? Jika skill hanya menampilkan hasil tanpa menjelaskan tindakan, pengguna kehilangan dasar untuk menilai risiko. Keamanan skill AI agent bukan hanya tentang mencegah malware, tetapi juga tentang memastikan pengguna memahami apa yang dilakukan agen atas nama mereka.
Langkah ketiga adalah menilai batas produk. Produk yang baik tidak menjanjikan keamanan sempurna. Ia menjelaskan keterbatasan: skill pihak ketiga mungkin dibatasi, beberapa tindakan tidak didukung, beberapa data tidak boleh diproses, dan akses tertentu memerlukan konfirmasi. Hindari produk yang mengklaim dapat mengontrol semua aplikasi tanpa izin, melewati sistem operasi, atau menjamin semua data selalu aman. Klaim yang terlalu luas sering kali lebih berbahaya daripada batas yang jujur.
FoneClaw independen dari The Hacker News, arXiv authors, OWASP, Android, Google, Claude Code, OpenAI Codex, OpenClaw, dan vendor keamanan mana pun. Artikel ini tidak menyiratkan bahwa FoneClaw terkena SkillCloak, memindai skill pihak ketiga tertentu, atau mendapat dukungan dari sumber yang dikutip. Pelajaran untuk FoneClaw lebih mendasar: phone agent yang bertindak di Android harus menjaga tindakan tetap terlihat, berbasis izin, dan dikonfirmasi pengguna.
Dalam praktiknya, FoneClaw sebaiknya memperlakukan skill, tool, atau kemampuan tambahan sebagai sesuatu yang perlu dibatasi oleh konteks tugas. Jika pengguna meminta merangkum notifikasi, agen tidak perlu akses kontak. Jika pengguna meminta menyiapkan pesan, agen perlu membedakan draf dari pengiriman. Jika tindakan menyentuh file, akun, pengaturan, atau data sensitif, pengguna harus melihat apa yang akan terjadi sebelum efeknya muncul. Prinsip ini membuat FoneClaw terasa seperti pembantu ponsel yang dapat dikendalikan, bukan sistem otomatis yang bekerja diam-diam.
Ke depan, keamanan phone agent tidak akan selesai dengan satu pemindai, satu izin, atau satu tombol setuju. Kepercayaan dibangun dari beberapa kebiasaan produk: akses minimum, pemeriksaan saat berjalan, status yang terlihat, konfirmasi sebelum aksi penting, dan log yang bisa ditinjau. Itulah batas yang sehat untuk FoneClaw: Android phone AI agent untuk operasi ponsel yang didukung, bukan jaminan keamanan absolut dan bukan alat untuk melewati kontrol Android.
Sumber: laporan The Hacker News tentang SkillCloak, preprint Cloak and Detonate, OWASP Top 10 for LLM Applications, dan Android Developers tentang permissions. Preprint dan laporan riset digunakan sebagai sinyal keamanan, bukan bukti bahwa semua skill berbahaya atau bahwa pemeriksaan saat berjalan menghilangkan semua risiko.