Celah Keamanan Claude Code dan Meluasnya Ancaman bagi AI Agentik

Serangan dapat terjadi dalam beberapa langkah mudah:

1. Seorang penyerang membuka isu atau pull request yang tampak biasa di repositori publik yang menggunakan GitHub Action Claude Code.
2. Badan isu atau komentar HTML berisi instruksi untuk agen AI, yang tidak terlihat oleh peninjau manusia yang memindai halaman.
3. Saat alur kerja dipicu, model AI memproses konten tersebut sebagai bagian dari konteksnya dan mengikuti instruksi tersemat untuk membaca /proc/self/environ .
4. Model tersebut kemudian dapat diinstruksikan lebih lanjut untuk mengeksfiltrasi data, misalnya dengan mempostingnya kembali di komentar. Para peneliti mencatat penyempurnaan di mana serangan menghapus tujuh karakter pertama (sk-ant-) dari ANTHROPIC_API_KEY untuk menghindari deteksi pemindai kunci rahasia otomatis .

Permukaan serangan ini—di mana instruksi bahasa alami yang disuntikkan ke dalam data menjadi perintah yang dapat dieksekusi—adalah inti dari injeksi prompt, sebuah vektor ancaman yang dengan cepat mendefinisikan lanskap keamanan untuk agen AI.

Patch Lebih Dulu, Baru Diumumkan: Garis Waktu Pengungkapan

Detail penting di sini adalah bahwa ini adalah pengungkapan terkoordinasi di mana perbaikannya lebih dulu ada.

• 5 Mei 2026: Anthropic merilis Claude Code 2.1.128, yang menambal kerentanan dengan menyelaraskan isolasi alat Read dengan penggosokan lingkungan yang sudah diterapkan pada jalur eksekusi lainnya .
• 5 Juni 2026: Microsoft menerbitkan analisis ancaman terperincinya, menggunakan studi kasus ini untuk memberikan rekomendasi keamanan mendesak bagi seluruh industri .

Lebih dari Sekadar Bug: Tujuh Cara Baru Sistem AI Agentik Gagal

Pengungkapan Claude Code muncul dengan latar belakang penilaian keamanan yang lebih menyeluruh. Satu hari sebelumnya, pada 4 Juni 2026, Tim AI Red Microsoft menerbitkan versi 2.0 dari Taxonomy of Failure Modes in Agentic AI Systems (Taksonomi Modus Kegagalan dalam Sistem AI Agentik) . Pembaruan besar ini, yang didasarkan pada dua belas bulan keterlibatan red-team di dunia nyata terhadap agen yang diterjunkan, menambahkan tujuh kategori kegagalan yang sepenuhnya baru yang jauh melampaui satu celah eksekusi kode.

Modus kegagalan baru ini merepresentasikan eskalasi signifikan dalam cara peneliti keamanan memikirkan sistem AI otonom:

1. Kompromi Rantai Pasok Agentik (Agentic Supply Chain Compromise): Tidak seperti serangan rantai pasok perangkat lunak tradisional yang mengirimkan kode berbahaya, ini melibatkan plugin, server MCP, atau template prompt yang telah dikompromikan, yang menyuntikkan instruksi bahasa alami untuk mengubah perilaku agen tanpa memicu pemindai kode .
2. Pembajakan Tujuan (Goal Hijacking): Musuh merancang instruksi yang tampaknya membantu menyelesaikan tugas sah, tetapi diam-diam mengalihkan tujuan akhir agen. Agen tersebut tetap tidak dikompromikan dari perspektif perangkat lunak, tetapi telah dipersenjatai untuk tujuan penyerang .
3. Eskalasi Kepercayaan Antar-Agen (Inter-Agent Trust Escalation): Dalam sistem multi-agen, agen yang telah dikompromikan dapat secara palsu mengklaim identitas dengan kepercayaan lebih tinggi atau izin yang dilebih-lebihkan ke orkestrator pusat yang tidak secara independen memverifikasi klaim tersebut. Ini bertindak sebagai versi bahasa alami dari masalah klasik "deputi kebingungan" (confused deputy) .
4. Serangan Visual Agen Pengguna Komputer (Computer Use Agent Visual Attack): Agen yang mengoperasikan antarmuka grafis dapat dimanipulasi oleh informasi visual yang tidak jelas bagi manusia, seperti teks tersembunyi, elemen UI di luar layar, atau gambar yang menyematkan muatan injeksi prompt .
5. Kontaminasi Konteks Sesi (Session Context Contamination): Serangan halus di mana musuh memperkenalkan informasi bias atau berbahaya di awal sesi agen multi-langkah yang panjang. Data ini mungkin tidak memicu kontrol keamanan pada satu langkah pun, tetapi merusak penalaran agen di langkah berikutnya yang tampaknya tidak berhubungan .
6. Penyalahgunaan MCP/Plugin: Fokus yang diperbarui pada permukaan serangan khusus untuk Model Context Protocol (MCP) dan arsitektur plugin, yang menjadi cara standar untuk memperluas kemampuan agen .
7. Pengungkapan Kapabilitas/Arsitektur: Agen itu sendiri dapat dibuat membocorkan detail desain internal yang sensitif—seperti skema alat, antarmuka memori, atau logika yang memicu persetujuan manusia—memberikan cetak biru bagi penyerang untuk serangan masa depan yang lebih tepat .

Taksonomi yang diperluas ini menggeser kerangka kerja dari 27 modus kegagalan asli menjadi 34, mencerminkan kompleksitas yang berkembang dan jejak nyata sistem agentik di dunia nyata .

Memperkuat CI/CD di Dunia Agentik

Menanggapi kasus Claude Code dan pembaruan taksonomi yang lebih luas, Microsoft menguraikan serangkaian rekomendasi keamanan untuk setiap tim yang mengintegrasikan agen AI ke dalam jalur pipa build mereka. Panduan tersebut menekankan bahwa isolasi parsial adalah kenyamanan yang palsu.

• Perlakukan Semua Konten Tidak Tepercaya sebagai Vektor Injeksi: Jangan pernah secara otomatis menjalankan alur kerja agen AI pada isu, PR, atau komentar dari kontributor eksternal. Konten ini harus diperlakukan sebagai input yang berpotensi berbahaya .
• Isolasikan Alat Secara Konsisten: Kesenjangan antara alat Bash yang terisolasi dan alat Read yang tidak terisolasi menunjukkan bahwa penggosokan lingkungan harus diterapkan secara seragam. Satu alat yang tidak terisolasi dapat mengkompromikan seluruh alur kerja .
• Terapkan Hak Istimewa Terendah (Least Privilege): Kunci API dan token akses agen itu sendiri harus memiliki cakupan sesempit mungkin, membatasi kerusakan jika terekspos. Gunakan OIDC untuk kredensial berumur pendek dan terlingkup tujuannya jika memungkinkan .
• Audit Pengalaman "Manusia dalam Putaran" (Human-in-the-Loop): Kontrol keamanan yang bergantung pada tinjauan manusia bisa gagal jika muatan serangan tersembunyi di Markdown mentah atau komentar HTML yang tidak pernah dilihat peninjau. Langkah persetujuan manusia hanya sekuat apa yang ditampilkan untuk disetujui .
• Inventarisir Rantai Pasok Agen: Tim harus menghasilkan bill of materials perangkat lunak (SBOM) untuk setiap agen yang diterjunkan, mencerminkan visibilitas rantai pasok yang sekarang standar untuk perangkat lunak tradisional .

Tersirat di seluruh panduan ini adalah prinsip arsitektur inti yang disebut komunitas keamanan sebagai "Rule of Two" (Aturan Dua). Berasal dari kerangka kerja Meta Oktober 2025 untuk keamanan agen praktis, aturan ini menyatakan bahwa sebuah agen harus memenuhi tidak lebih dari dua dari tiga kondisi berikut: memproses input yang tidak tepercaya, memiliki akses ke data sensitif, dan memiliki kapabilitas untuk mengeksekusi tindakan yang mengubah keadaan eksternal . Kerentanan Claude Code adalah pelanggaran klasik terhadap prinsip ini, karena agen tersebut secara bersamaan menangani input dari PR yang tidak tepercaya dan memegang kredensial yang kuat.