Telset.id – Tim peneliti keamanan Mozilla 0din menemukan celah berbahaya yang memungkinkan Claude Code, alat coding agentic dari Anthropic, dimanipulasi untuk membuka reverse shell pada perangkat pengembang. Serangan ini memanfaatkan repositori proyek palsu yang tampak normal, sehingga lolos dari pemeriksaan standar.
Eksploitasi ini tidak memerlukan kode berbahaya di dalam proyek yang dikloning. Setiap file yang terlihat melewati pemeriksaan biasa tanpa menimbulkan kecurigaan. Namun, instruksi berbahaya tiba kemudian, diambil saat runtime dari catatan teks DNS yang tidak pernah diperiksa oleh pemindai statis.
Penelitian ini mengungkap kerentanan serius pada alat AI yang semakin banyak digunakan pengembang. Serangan dimulai dengan file Markdown biasa yang menjelaskan cara menginstal paket bernama Axiom, sebuah alat monitoring umum.
Menjalankan alat tanpa inisialisasi menghasilkan pesan error sederhana yang memerintahkan pengguna untuk mengeksekusi perintah setup tertentu. Pola ini sangat mirip dengan pemecahan masalah pengembang biasa, yang justru membuatnya luput dari kecurigaan.

Claude Code, yang hanya berusaha membantu, mengikuti instruksi tertulis tersebut secara otomatis. Alat ini memperlakukan perbaikan yang didokumentasikan sebagai pemulihan error rutin. Satu perintah itu memicu skrip shell tersembunyi yang diam-diam menanyakan catatan teks DNS yang dikendalikan sepenuhnya oleh penyerang jarak jauh.
Catatan DNS tersebut didekodekan menjadi perintah reverse shell yang di-base64, yang dieksekusi secara diam-diam dan terhubung langsung ke server penyerang. Setelah masuk, penyerang dapat menanam kunci SSH atau menjadwalkan cron job tersembunyi untuk persistensi.
Satu tautan repositori yang dibagikan di postingan pekerjaan atau pesan obrolan dapat mengekspos setiap pengembang yang hanya membukanya. Ancaman ini menjadi perhatian serius di tengah maraknya adopsi Fitur Agentic pada berbagai platform pengembangan.
Mengapa Alat Keamanan Standar Gagal Mendeteksi
Alat keamanan standar, seperti perangkat lunak antivirus atau perlindungan firewall, gagal mendeteksi celah ini karena tidak ada satu pun langkah individual yang tampak mencurigakan. Alat pemindaian kode statis hanya mendaftarkan pencarian DNS rutin, yang tidak menunjukkan aktivitas berbahaya.

Pemantauan jaringan tidak mencatat apa pun selain resolusi nama domain biasa. Agen itu sendiri memandang perintah tersebut sebagai setup yang telah diotorisasi sebelumnya. Tim 0din menekankan bahwa agen coding perlu memeriksa dengan tepat apa yang akan dijalankan oleh skrip setup sebelum mengeksekusi apa pun.
Kasus ini menunjukkan bahwa alat AI agentic yang dibangun di atas model bahasa besar mungkin memerlukan perlindungan runtime yang jauh lebih kuat. Sampai agen semacam itu dapat mengevaluasi secara bermakna apa yang sebenarnya dieksekusi oleh suatu perintah, serangan tidak langsung serupa kemungkinan akan tetap sulit dicegah.
Baca Juga:
Pelajaran yang lebih luas melampaui Claude Code, karena sebagian besar sistem AI agentic memiliki titik buta serupa terhadap indirect prompt injection. Saat ini, memperlakukan otomatisasi yang tidak dikenal sebagai risiko nyata tetap menjadi perlindungan paling andal yang tersedia bagi sebagian besar pengembang individu.
Peneliti Mozilla 0din menekankan bahwa pengembang tidak boleh pernah menganggap repositori yang tidak dikenal dapat dipercaya, tidak peduli seberapa biasa tampilan file setup-nya. Serangan ini membuktikan bahwa alat coding AI, termasuk yang sedang dikembangkan oleh berbagai vendor, memiliki kerentanan fundamental yang perlu segera diatasi.
Ancaman terhadap alat coding AI semakin relevan dengan perkembangan Agentic Coding dari Apple di WWDC 2026. Semakin banyak platform yang mengadopsi pendekatan serupa, semakin luas pula permukaan serangan yang harus diamankan.
Kasus Claude Code menjadi peringatan dini bagi industri. Kepercayaan buta terhadap repositori kode dan perintah setup otomatis dapat menjadi pintu masuk bagi penyerang untuk mengkompromikan lingkungan pengembangan yang paling sensitif sekalipun.
Kerentanan ini juga menyoroti perlunya pendekatan keamanan baru untuk alat AI. Alat keamanan tradisional yang mengandalkan deteksi berbasis tanda tangan atau analisis statis tidak lagi memadai untuk menghadapi serangan yang memanfaatkan perilaku agentic dari AI.

Mozilla 0din merekomendasikan agar pengembang menerapkan kebijakan keamanan yang lebih ketat saat menggunakan alat coding AI. Verifikasi manual terhadap setiap perintah yang akan dieksekusi, terutama dari repositori yang tidak dikenal, harus menjadi prosedur standar.
Selain itu, penggunaan sandbox atau lingkungan terisolasi untuk menjalankan alat coding AI dapat membatasi dampak serangan. Jika terjadi kompromi, kerusakan dapat dibatasi pada lingkungan pengembangan yang terisolasi.
Ancaman terhadap alat AI agentic seperti Claude Code menunjukkan bahwa keamanan siber harus terus beradaptasi. Seiring dengan semakin canggihnya alat AI, teknik serangan yang mengeksploitasi kepercayaan dan otomatisasi juga akan semakin berkembang.
Untuk saat ini, kewaspadaan dan verifikasi manual tetap menjadi pertahanan terbaik. Pengembang harus selalu waspada terhadap repositori yang tidak dikenal dan tidak secara otomatis mempercayai perintah setup apa pun, bahkan jika perintah tersebut tampak berasal dari sumber yang sah.
Penelitian Mozilla 0din ini menjadi pengingat penting bahwa kemudahan yang ditawarkan oleh alat AI agentic harus diimbangi dengan kesadaran keamanan yang lebih tinggi. Fitur Agentic AI memang membawa efisiensi, tetapi juga membawa risiko baru yang perlu dikelola dengan hati-hati.





Komentar
Belum ada komentar.