Agentjacking: Laporan Bug Palsu Bisa Kendalikan Agen Coding AI dari Jarak Jauh
CLB.my.id - Peneliti keamanan dari Tenet Security mengungkap metode serangan baru yang mereka sebut Agentjacking, yaitu teknik untuk membajak agen coding AI hanya dengan mengirim laporan bug palsu ke Sentry. Serangan ini tidak memerlukan malware, kata sandi yang dicuri, atau pelanggaran keamanan langsung pada target.
Temuan ini menjadi peringatan keras bagi pengembang software yang mengandalkan agen AI seperti Claude Code, Cursor, atau Codex untuk alur kerja sehari-hari. Dalam pengujian terkontrol, Tenet Security melaporkan tingkat keberhasilan serangan mencapai 85 persen.
Mekanisme Serangan
Serangan Agentjacking bekerja dengan memanfaatkan Model Context Protocol (MCP), standar yang memungkinkan agen AI menarik data dari alat eksternal seperti Sentry. Sentry adalah platform populer untuk memantau error dan crash aplikasi secara real-time.
Penyerang mengirimkan laporan error palsu ke endpoint Sentry publik tanpa memerlukan kata sandi. Laporan tersebut menyembunyikan bagian “Resolution” yang berisi perintah berbahaya, diformat agar terlihat seperti saran resmi dari Sentry.
Ketika seorang pengembang meminta agen codingnya untuk memperbaiki error yang belum terselesaikan di Sentry, agen membaca laporan palsu tersebut dan menganggapnya sebagai data tepercaya. Agen tidak dapat membedakan crash nyata dari crash yang ditanam. Hasilnya, agen menjalankan kode penyerang dengan hak akses pengembang itu sendiri, di mesin pengembang itu sendiri.
“Serangan ini melewati EDR, firewall, IAM, dan VPN karena tidak ada yang tidak sah dalam rantai tersebut,” tulis Tenet Security. Mereka menyebut pola ini sebagai “Authorized Intent Chain”, di mana setiap langkah dalam rantai terlihat sah dari perspektif keamanan tradisional.
Siapa yang Rentan?
Tenet Security menguji serangan ini terhadap tiga agen coding AI terbesar: Claude Code dari Anthropic, Cursor, dan Codex dari OpenAI. Semuanya berhasil dibajak. Dari 2.388 organisasi yang terpapar, rentangnya mulai dari perusahaan senilai US$250 miliar hingga pengembang solo, termasuk vendor keamanan cloud.
Yang membuat serangan ini sangat berbahaya adalah potensi dampaknya. Satu kode yang disuntikkan dapat menjangkau variabel lingkungan, kunci AWS, token GitHub, kredensial git, dan URL repositori pribadi. Dari titik itu, jalur serangan dapat merambat ke pipeline CI/CD dan infrastruktur cloud.
Tanggapan Sentry
Tenet Security melaporkan temuan ini kepada Sentry pada 3 Juni 2026. Sentry mengakui masalah tersebut tetapi menolak memperbaikinya secara mendasar, dengan alasan celah itu “secara teknis tidak dapat dipertahankan” atau “technically not defensible”.
Sebagai gantinya, Sentry menambahkan filter untuk memblokir satu string payload tertentu. Pendekatan ini hanya mengobati gejala, bukan akar masalah. Celah yang sama tetap ada dan dapat dimanipulasi melalui vektor serangan yang sedikit berbeda.
“Sentry mengakui masalahnya tetapi menolak memperbaikinya di akar, menyebutnya ‘secara teknis tidak bisa dipertahankan’,” lapor Tenet Security.
Ancaman Lebih Luas dari Agen AI
Temuan Agentjacking bukan hanya tentang Sentry. Kelemahan fundamental terletak pada cara agen AI menangani data dari sumber eksternal. Risiko yang sama berlaku untuk tiket dukungan, GitHub issues, dan dokumentasi teknis.
Sebuah tes terpisah menunjukkan bahwa agen email AI berhasil dipancing untuk membocorkan kunci AWS melalui email phishing. Ini menunjukkan bahwa masalahnya bersifat sistemik pada arsitektur agen AI saat ini, bukan hanya pada satu platform tertentu.
Pasar agen coding AI sedang booming. Salah satu startup vibe-coding baru-baru ini mencapai pendapatan US$500 juta. Semakin banyak perusahaan yang memasang agen AI ke dalam alur kerja produksi mereka tanpa mempertimbangkan permukaan serangan baru yang tercipta.
Pelajaran untuk Pengembang
Satu-satunya titik di mana serangan ini dapat dihentikan adalah saat agen memutuskan untuk bertindak. Tenet Security merekomendasikan agar pengembang mengimplementasikan verifikasi manual sebelum agen menjalankan perintah yang berasal dari data eksternal.
Pengembang juga disarankan untuk membatasi hak akses agen AI, memisahkan akun yang digunakan agen dari akun pengembang utama, dan memantau aktivitas agen secara real-time. Mengandalkan agen coding AI tanpa pengawasan yang memadai kini menjadi risiko keamanan yang terukur.
Bagi perusahaan di Indonesia yang mulai mengadopsi agen coding AI, temuan ini menjadi pengingat bahwa otomatisasi tanpa lapisan keamanan tambahan dapat menjadi pintu masuk bagi penyerang.***
