Celah keamanan baru pada integrasi AI agent ditemukan mampu menyusupkan kode berbahaya ke dalam repositori melalui instruksi bahasa alami yang tidak terdeteksi pemindai tradisional. Ribuan pengembang kini berisiko menghadapi serangan supply chain karena alat SAST dan SCA gagal membedakan instruksi berbahaya dalam file konfigurasi. Fenomena ini menandai lahirnya lapisan ancaman baru di luar kode sumber dan dependensi perangkat lunak.
Industri keamanan siber global kini menghadapi ancaman struktural baru yang disebut sebagai "agent-level poisoning". Temuan terbaru dari Data Intelligence Lab di University of Hong Kong mengungkapkan bahwa alat populer CLI-Anything—yang telah meraih 30.000 bintang di GitHub—ternyata menjadi pintu masuk bagi serangan yang tidak meninggalkan jejak pada sistem pemindaian keamanan konvensional. Melalui satu perintah sederhana, repositori sumber terbuka dapat diubah menjadi backdoor bagi AI agent seperti Claude Code, GitHub Copilot CLI, hingga Cursor.
Celah di Lapisan Integrasi AI Agent
Selama ini, keamanan rantai pasok perangkat lunak (software supply chain) hanya berfokus pada dua lapisan utama: lapisan kode yang dipindai oleh Static Application Security Testing (SAST) dan lapisan dependensi yang diawasi oleh Software Composition Analysis (SCA). Namun, AI agent beroperasi pada lapisan ketiga, yaitu lapisan integrasi. Di sinilah file seperti SKILL.md dan konfigurasi Model Context Protocol (MCP) berada.
Masalahnya, instruksi dalam file-file tersebut ditulis dalam bahasa alami yang dipahami oleh AI, namun dianggap sebagai dokumentasi biasa oleh mesin pemindai. "SAST dan SCA dibuat untuk kode dan dependensi. Mereka tidak memeriksa instruksi," tegas Merritt Baer, CSO Enkrypt AI dan mantan Deputy CISO di Amazon Web Services (AWS). Akibatnya, instruksi berbahaya yang disisipkan tidak akan memicu peringatan CVE (Common Vulnerabilities and Exposures) maupun muncul dalam daftar Bill of Materials (SBOM).
Anatomi Serangan DDIPE dan Dampak Nyata
Riset kolaboratif dari berbagai universitas di Australia, Singapura, dan Jepang mendokumentasikan teknik serangan yang disebut Document-Driven Implicit Payload Execution (DDIPE). Teknik ini menyisipkan logika berbahaya di dalam contoh kode pada dokumentasi skill AI. Dalam pengujian terhadap empat kerangka kerja agen dan lima model bahasa besar (LLM), serangan ini berhasil menembus pertahanan dengan tingkat keberhasilan antara 11,6% hingga 33,5%.
Bukti serangan di lapangan sudah mulai bermunculan sepanjang awal tahun 2026:
- Kampanye ClawHavoc: Ditemukan 1.184 paket berbahaya di platform ClawHub yang menyebarkan Atomic Stealer (AMOS) melalui definisi skill AI.
- Audit ToxicSkills: Snyk menemukan bahwa 13,4% dari hampir 4.000 skill AI agent mengandung setidaknya satu masalah keamanan kritis.
- Eksploitasi Token: Sebuah judul isu di GitHub yang dirancang khusus berhasil memicu bot triage AI untuk mencuri GITHUB_TOKEN, berujung pada pengambilalihan akses ke 4.000 mesin pengembang selama delapan jam.
Kelemahan pada Protokol MCP dan IDE
Protokol MCP yang diusung Anthropic juga tidak luput dari risiko. Laporan dari OX Security pada April 2026 menunjukkan bahwa peneliti berhasil meracuni sembilan dari 11 pasar (marketplace) MCP. Selain itu, ditemukan lebih dari 1.400 server MCP yang terekspos ke internet tanpa autentikasi sama sekali. Kerentanan ini bersifat sistemik karena pengembang yang menggunakan SDK resmi secara otomatis mewarisi celah keamanan tersebut.
Carter Rees, VP AI di Reputation, menyoroti bahwa kerentanan paling signifikan terletak pada kontrol akses yang rusak. AI agent sering kali beroperasi pada bidang otorisasi yang datar (flat authorization plane). Artinya, jika sebuah skill yang terkompromi berhasil masuk, agen tersebut tidak perlu melakukan eskalasi hak akses karena ia sudah memiliki izin yang sama dengan pengembang yang menggunakannya.
Langkah Mitigasi bagi Pemimpin Keamanan
Mengingat alat keamanan tradisional tidak lagi memadai, para direktur keamanan informasi (CISO) perlu segera memperbarui strategi mereka. Cisco dan Snyk telah meluncurkan alat pemindai khusus seperti Cisco Skill Scanner dan mcp-scan pada April 2026 sebagai respons pertama terhadap ancaman di lapisan integrasi ini.
Perusahaan disarankan untuk segera melakukan inventarisasi terhadap semua alat penghubung agen (agent bridge tools) yang digunakan di lingkungan pengembangan. Proses audit terhadap skill AI harus diperlakukan sama ketatnya dengan audit registri paket perangkat lunak. Membatasi hak eksekusi agen dan menerapkan observabilitas runtime menjadi krusial untuk memantau apakah tindakan yang diambil agen selaras dengan perilaku yang diharapkan atau justru melakukan aktivitas mencurigakan seperti eksfiltrasi data.
