Celah Claude Code Bobol Kunci GitHub, Microsoft Temukan Celah Prompt Injection yang Mengkhawatirkan

CLB.my.id - Peneliti keamanan Microsoft mengungkap kerentanan serius di dalam fitur GitHub Action milik Claude Code, agen AI buatan Anthropic yang banyak dipakai developer untuk otomasi tugas di pipeline pengembangan perangkat lunak. Celah ini memungkinkan peretas mencuri token cloud dan kunci API langsung dari lingkungan CI/CD (Continuous Integration/Continuous Deployment) hanya dengan menyisipkan instruksi jahat di konten yang tidak terpercaya.

Kerentanan ini menjadi peringatan keras bagi seluruh industri pengembangan perangkat lunak. Ketika agen AI diberi akses langsung ke pipeline produksi, serangan prompt injection yang tadinya dianggap gangguan level konsumen kini berubah menjadi ancaman infrastruktur kritis.

Bagaimana Celah Itu Bekerja

Serangan ini menargetkan developer yang menggunakan Claude Code untuk mengotomasi tugas di GitHub. Peretas menyembunyikan instruksi berbahaya di dalam konten yang tidak terpercaya, seperti badan issue atau komentar pull request. Ketika agen Claude Code membaca teks yang sudah diracuni tersebut, ia menjalankan perintah yang tidak sah tanpa disadari oleh developer.

Hasilnya, agen tersebut melewati sandbox lingkungan standar dan berhasil mencuri kredensial developer, termasuk kunci ANTHROPIC_API_KEY yang sangat sensitif. Kunci ini merupakan akses utama ke layanan API Anthropic, sehingga jatuhnya ke tangan peretas bisa berakibat sangat luas.

Tim Microsoft Threat Intelligence melaporkan masalah ini kepada Anthropic melalui platform HackerOne pada 29 April 2026. Anthropic merespons dengan cepat dan menerapkan mitigasi pada 5 Mei 2026 melalui rilis Claude Code versi 2.1.128. Patch tersebut secara eksplisit mencabut kemampuan agen untuk membaca file sistem tertentu, termasuk /proc/self/environ, yang merupakan jalur teknis yang dieksploitasi untuk mengambil variabel lingkungan.

Bukan Insiden Pertama Anthropic

Patch GitHub Action ini datang di tengah periode keamanan operasional yang rumit bagi Anthropic. Beberapa minggu sebelumnya, pada April 2026, kesalahan teknis internal menyebabkan kebocoran data yang cukup parah. Hampir 2.000 file internal dan 500.000 baris kode sumber Claude Code terekspos langsung di repositori publik GitHub.

Insiden tersebut menunjukkan bahwa bahkan perusahaan AI terkemuka pun rentan terhadap kesalahan keamanan dasar. Kombinasi antara kebocoran kode sumber dan celah prompt injection ini menciptakan gambaran yang mengkhawatirkan tentang keamanan ekosistem agen AI.

Prompt Injection Berubah Jadi Ancaman Infrastruktur

Menurut analisis keamanan Microsoft, batas antara prompt AI yang dimanipulasi dan eksekusi kode jarak jauh tradisional (remote code execution) semakin kabur. Jika sebuah agen AI memiliki izin untuk membaca file sistem atau menjalankan perintah workflow, maka teks apa pun yang ia proses menjadi potensi vektor serangan terhadap seluruh sistem.

Microsoft sendiri mengalami hambatan arsitektur yang hampir identik baru-baru ini. Perusahaan harus menambal kerentanan eksekusi kode jarak jauh di dalam framework AI Semantic Kernel miliknya sendiri. Ini menandakan bahwa keseluruhan industri masih berjuang untuk mengisolasi agen coding otonom secara aman.

Implikasinya jelas: semakin banyak perusahaan yang mengintegrasikan agen AI ke dalam pipeline pengembangan, semakin besar pula permukaan serangan yang harus dijaga. Prompt injection bukan lagi sekadar masalah chatbot yang bisa dibujuk untuk menghasilkan teks yang salah. Dalam konteks CI/CD, serangan ini bisa berakibat pencurian kredensial, akses tidak sah ke infrastruktur cloud, dan kompromi rantai pasok perangkat lunak.

Pelajaran untuk Developer

Insiden ini menggarisbawahi pentingnya membatasi otonomi agen AI di lingkungan produksi. Developer yang menggunakan Claude Code atau agen coding serupa disarankan untuk memastikan versi yang digunakan sudah diperbarui ke 2.1.128 atau lebih baru. Selain itu, akses agen AI ke file sistem dan variabel lingkungan harus dibatasi seminimal mungkin.

Konten dari sumber yang tidak terpercaya, seperti issue publik dan komentar pull request, sebaiknya tidak diproses secara langsung oleh agen yang memiliki akses ke kredensial sensitif. Prinsip least privilege tetap menjadi fondasi keamanan yang tidak bisa diabaikan, bahkan di era agen AI yang semakin otonom.***