Waspada Agentjacking, AI Coding Bisa Dipaksa Jalankan Malware

Perkembangan kecerdasan buatan (Artificial Intelligence/AI) telah mengubah cara pengembang perangkat lunak bekerja. Kehadiran berbagai agen AI untuk pemrograman seperti Claude Code, Cursor, GitHub Copilot, hingga platform berbasis Model Context Protocol (MCP) memungkinkan pengembang menulis, memperbaiki, dan mengelola kode secara lebih cepat dan efisien.

Namun, di balik manfaat tersebut, para peneliti keamanan siber menemukan ancaman baru yang berpotensi mengubah AI dari alat bantu menjadi pintu masuk serangan siber. Ancaman itu diberi nama Agentjacking, sebuah teknik serangan yang dapat menipu agen AI pemrograman agar menjalankan kode berbahaya di komputer pengembang tanpa disadari.

Temuan ini diungkap oleh perusahaan keamanan siber Tenet Security. Menurut para peneliti Ron Bobrov, Barak Sternberg, dan Nevo Poran, serangan tersebut memanfaatkan hubungan antara platform pemantauan kesalahan aplikasi Sentry dan teknologi Model Context Protocol (MCP) yang kini banyak digunakan untuk menghubungkan agen AI dengan berbagai layanan eksternal.

Memanfaatkan Kepercayaan Agen AI

Dalam beberapa tahun terakhir, agen AI telah berkembang dari sekadar chatbot menjadi asisten yang mampu mengambil tindakan langsung. Agen AI modern tidak hanya memberikan saran, tetapi juga dapat menjalankan perintah, mengakses sistem, membaca data, hingga memperbaiki kesalahan dalam kode program.

Kemampuan inilah yang menjadi sasaran Agentjacking.

Para peneliti menjelaskan bahwa serangan ini memanfaatkan kelemahan mendasar dalam cara agen AI mempercayai data yang diterimanya dari layanan eksternal. Dalam kasus ini, target utama adalah Sentry, platform open-source yang digunakan ribuan organisasi untuk memantau kesalahan aplikasi dan mengumpulkan laporan bug secara real-time.

“Serangan ini mengeksploitasi kelemahan kritis pada pertemuan antara sistem penerimaan event Sentry yang menerima data dari siapa saja yang memiliki DSN dan server Sentry MCP yang mengirimkan data tersebut ke agen AI sebagai keluaran sistem yang dianggap tepercaya,” ungkap para peneliti.

Dengan kata lain, agen AI menganggap informasi yang diterima dari Sentry sebagai data yang valid dan aman. Padahal, informasi tersebut bisa saja telah dimanipulasi oleh pihak yang tidak bertanggung jawab.

Bagaimana Agentjacking Bekerja?

Secara sederhana, Agentjacking memanfaatkan laporan kesalahan atau error report palsu yang dikirim ke Sentry. Biasanya, ketika aplikasi mengalami masalah atau crash, Sentry akan mencatat informasi teknis terkait kesalahan tersebut. Data inilah yang kemudian dapat dianalisis oleh pengembang atau agen AI untuk menemukan solusi.

Namun, Tenet Security menemukan bahwa pelaku dapat mengirimkan laporan kesalahan palsu yang berisi instruksi berbahaya. Instruksi tersebut disamarkan sedemikian rupa sehingga terlihat seperti rekomendasi pemecahan masalah yang sah.

Ketika agen AI membaca laporan tersebut, ia tidak mampu membedakan apakah informasi tersebut berasal dari kesalahan aplikasi yang sebenarnya atau dari pihak yang sengaja menyisipkan instruksi berbahaya.

Akibatnya, agen AI dapat menjalankan perintah yang dikendalikan oleh penyerang.

Yang membuat serangan ini lebih mengkhawatirkan adalah fakta bahwa penyerang tidak perlu melakukan phishing, mencuri akun, atau membobol server perusahaan terlebih dahulu. Cukup dengan memanfaatkan mekanisme yang memang telah tersedia secara publik, serangan dapat dijalankan dari jarak jauh.

Tahapan Serangan

Tenet Security menjelaskan bahwa Agentjacking terdiri dari beberapa tahapan yang relatif sederhana.

Pertama, penyerang mencari Data Source Name (DSN) milik target. DSN merupakan identitas yang digunakan aplikasi untuk mengirim laporan kesalahan ke Sentry. Dalam banyak kasus, informasi ini tersedia secara publik dan tertanam di situs web atau aplikasi.

Setelah memperoleh DSN, penyerang mengirim laporan kesalahan palsu ke endpoint Sentry menggunakan permintaan POST.

Laporan tersebut tidak hanya berisi pesan kesalahan biasa, tetapi juga instruksi yang telah dirancang secara khusus menggunakan format markdown. Tampilan instruksi dibuat menyerupai panduan resmi atau rekomendasi teknis yang biasanya muncul pada sistem Sentry.

Ketika seorang pengembang meminta agen AI untuk memperbaiki masalah yang belum terselesaikan di Sentry, agen AI akan mengakses data tersebut melalui MCP.

Di sinilah masalah muncul.

Agen AI membaca laporan palsu tersebut sebagai sumber informasi yang sah dan kemudian menjalankan instruksi yang sebenarnya berasal dari penyerang. Karena agen AI bekerja menggunakan hak akses milik pengembang, seluruh perintah berbahaya tersebut dieksekusi dengan izin penuh di komputer korban.

“Instruksi berbahaya disamarkan sebagai solusi resmi dalam laporan kesalahan biasa. Ketika pengembang meminta agen AI memperbaiki masalah tersebut, agen membaca perintah penyerang sebagai panduan yang dapat dipercaya dan menjalankannya menggunakan hak akses pengembang pada perangkat pengembang itu sendiri,” jelas para peneliti.

Data Sensitif Berisiko Bocor

Dampak dari serangan Agentjacking tidak dapat dianggap remeh. Jika berhasil dieksploitasi, pelaku dapat memperoleh berbagai informasi sensitif yang tersimpan pada lingkungan kerja pengembang.

Beberapa data yang berpotensi dicuri antara lain variabel lingkungan (environment variables), token akses aplikasi, kredensial Git, URL repositori privat, hingga identitas pengembang. Dalam banyak organisasi, data-data tersebut merupakan aset penting yang dapat digunakan untuk memperluas serangan ke sistem lain.

Misalnya, kredensial Git dapat digunakan untuk mengakses repositori sumber kode perusahaan. Variabel lingkungan dapat berisi kunci API, token autentikasi, atau konfigurasi cloud yang membuka akses ke infrastruktur penting.

Dengan demikian, satu serangan Agentjacking berpotensi menjadi titik awal kompromi yang lebih besar terhadap lingkungan teknologi perusahaan.

Tingkat Keberhasilan yang Mengkhawatirkan

Dalam penelitian yang dilakukan Tenet Security, ditemukan sedikitnya 2.388 organisasi yang memiliki DSN valid dan rentan terhadap teknik penyisipan laporan berbahaya ini.

Penelitian tersebut juga melibatkan pengujian terkontrol terhadap lebih dari 100 organisasi yang menggunakan berbagai asisten AI pemrograman populer.

Hasilnya cukup mengejutkan.

Para peneliti mencatat tingkat keberhasilan eksploitasi mencapai sekitar 85 persen ketika agen AI memproses laporan kesalahan yang telah disusupi. Angka tersebut menunjukkan bahwa sebagian besar agen AI saat ini masih memiliki kesulitan dalam membedakan antara data terpercaya dan data yang telah dimanipulasi.

Temuan ini menjadi sinyal kuat bahwa keamanan agen AI perlu mendapat perhatian yang sama seriusnya dengan keamanan aplikasi dan infrastruktur tradisional.

Respons Sentry
Menanggapi temuan tersebut, Sentry mengakui keberadaan masalah yang diungkap oleh para peneliti. Namun perusahaan tersebut dilaporkan memilih untuk tidak melakukan perbaikan langsung karena menganggap permasalahan ini secara teknis sulit untuk dicegah sepenuhnya.

Meski demikian, Sentry telah menerapkan filter konten global yang dirancang untuk memblokir pola payload tertentu yang diketahui digunakan dalam serangan Agentjacking. Langkah ini diharapkan dapat mengurangi risiko eksploitasi, meskipun belum sepenuhnya menghilangkan akar permasalahan yang terkait dengan kepercayaan agen AI terhadap data eksternal.

AI Menjadi Permukaan Serangan Baru

Selama ini organisasi berfokus melindungi server, aplikasi, jaringan, dan endpoint dari berbagai ancaman siber. Namun kemunculan Agentjacking menunjukkan bahwa agen AI kini juga harus dianggap sebagai bagian dari permukaan serangan (attack surface) yang perlu diamankan.

Berbeda dengan malware tradisional yang mencoba menyusup ke sistem melalui celah keamanan, Agentjacking memanfaatkan kepercayaan yang diberikan kepada AI.

Serangan ini bahkan mampu melewati berbagai mekanisme keamanan modern seperti Endpoint Detection and Response (EDR), Web Application Firewall (WAF), Identity and Access Management (IAM), VPN, Cloudflare, hingga firewall.

Penyebabnya sederhana: seluruh aktivitas dalam rantai serangan terlihat sah. Tidak ada eksploitasi kerentanan secara langsung, tidak ada malware yang mencolok, dan tidak ada akses ilegal yang mudah dideteksi.

Semua tindakan dilakukan menggunakan izin yang memang dimiliki oleh agen AI dan pengembang.

Menurut Tenet Security, fenomena ini menandai babak baru dalam dunia keamanan siber, di mana agen AI tidak lagi sekadar alat bantu produktivitas, melainkan juga dapat menjadi target manipulasi yang dimanfaatkan untuk menyerang organisasi dari dalam.

Seiring semakin luasnya adopsi AI dalam proses pengembangan perangkat lunak, perusahaan perlu menerapkan kontrol keamanan tambahan, memvalidasi sumber data yang digunakan agen AI, serta membatasi hak akses yang diberikan kepada sistem otomatis tersebut.

Jika tidak, Agentjacking bisa menjadi contoh pertama dari gelombang serangan baru yang memanfaatkan kepercayaan terhadap AI untuk menjalankan aksi berbahaya secara diam-diam dan sulit terdeteksi.