Telset.id – Riset terbaru dari tim keamanan Mozilla 0din mengungkapkan bahwa AI coding agent seperti Claude milik Anthropic bisa dimanipulasi untuk menjalankan malware hanya dengan memintanya menginisialisasi proyek dari repositori GitHub yang tampak bersih. Temuan ini menjadi peringatan serius bagi para developer yang mulai mengandalkan AI untuk tugas pemrograman.
Teknik yang digunakan para peneliti tergolong sederhana namun cerdik. Seorang developer korban cukup memerintahkan Claude untuk menginisialisasi proyek dari repositori GitHub berbahaya, atau menyuruhnya melakukan konfigurasi setelah melakukan cloning sendiri. Repositori tersebut terlihat bersih, hanya berisi beberapa file scaffolding, dan yang terpenting, tidak memicu alat keamanan apa pun—baik remote, lokal, maupun pemeriksaan internal Claude.
Proses serangan berjalan dalam tiga tahap yang masing-masing tampak tidak mencurigakan. Pertama, setelah Claude melakukan cloning repositori, file pertama yang diproses adalah file readme atau Markdown yang menjelaskan cara menginisialisasi lingkungan Python dengan paket Axiom, sebuah alat monitoring yang umum digunakan. Pada titik ini, semuanya tampak sah.
Langkah kedua adalah trik utama. Terdapat skrip startup Axiom palsu yang sengaja gagal saat pertama kali dijalankan. Agar tetap membantu, Claude akan menjalankan perintah lain yang tampak tidak berbahaya: python3 -m axiom init. Perintah ini kemudian memicu skrip shell yang mengunduh perangkat lunak untuk dijalankan—operasi standar yang tidak akan menimbulkan kecurigaan.
Bagian paling cerdik adalah langkah ketiga. Alih-alih mengunduh dari URL berbahaya yang bisa terdeteksi, skrip tersebut membaca catatan teks DNS dari domain tertentu, dalam kasus ini domain _axiom-config.m100.cloud. Catatan TXT ini berisi string yang dienkode (base64) yang membuka reverse shell, artinya shell pada mesin korban akan dialihkan ke server penyerang untuk input.
Baca Juga:
Pada titik ini, penyerang bisa mengambil alih akun developer, mengakses semua rahasia, kunci API, kode, dokumen, sesi browser, dan kata sandi. Mereka bahkan bisa menginstal malware tambahan untuk mempertahankan akses permanen. Sementara itu, yang terlihat oleh Claude dan korban hanyalah pesan “Environment ready” atau sejenisnya.
Yang membuat teknik ini berbahaya adalah tiga lapis pengalihan yang masing-masing tidak terlihat mencurigakan. Sangat sedikit alat pemindaian keamanan yang akan menandai repositori tersebut, dan tidak ada aktivitas—kecuali pembukaan remote shell—yang terlihat aneh. Lingkungan perusahaan dengan kontrol akses jaringan yang sangat ketat mungkin bisa mendeteksinya, tapi itu bukan tempat mayoritas developer bekerja.
Tim 0din menekankan bahwa hampir semua bot agent rentan terhadap jenis serangan ini, meskipun Claude menjadi pilihan utama untuk tugas pemrograman. Implementasi spesifik ini hanyalah satu contoh dari konsep yang bisa diterapkan pada metode yang lebih tidak langsung dan rumit.
Kesimpulan tim 0din cukup gamblang: developer tidak boleh mempercayai proyek tidak dikenal sebagai kode tepercaya, dan tentu saja tidak boleh memercayai alat AI itu sendiri untuk tujuan analisis keamanan. Untuk agen AI itu sendiri, 0din menyatakan mereka perlu memeriksa apa yang benar-benar akan dijalankan dan bagaimana caranya, bukan sekadar mengikuti langkah-langkah.
Temuan ini menjadi pengingat penting di tengah maraknya penggunaan AI Coding Tools untuk produktivitas. Meskipun AI dapat mempercepat pekerjaan, keamanan tetap harus menjadi prioritas utama. Bahkan dengan kemajuan seperti Fitur Terbaru di Xcode 27, developer tetap perlu waspada terhadap ancaman yang mengintai.
Komentar
Belum ada komentar.