Serangan Agentjacking Bikin Agen AI Coding Jalankan Kode Jahat Tanpa Disadari Pengembang

CLB.my.id - Para peneliti keamanan siber dari Tenet Security mengungkap kelas serangan baru yang mereka beri nama “agentjacking.” Serangan ini mampu menipu agen AI coding seperti Claude Code, Cursor, dan Codex agar menjalankan kode berbahaya di mesin pengembang, tanpa perlu malware, phishing, atau pelanggaran infrastruktur apa pun.

Temuan ini dipublikasikan pada Juni 2026 dan langsung menarik perhatian komunitas keamanan global. Pasalnya, serangan ini mengeksploitasi celah arsitektural pada alat pemantauan error Sentry yang sangat populer di kalangan developer, dipadukan dengan Model Context Protocol (MCP) yang kini menjadi standar komunikasi antara agen AI dan alat pengembangan.

Bagaimana Serangan Ini Bekerja

Serangan agentjacking dimanfaatkan lewat lima tahap yang semuanya terlihat sah di mata sistem keamanan tradisional. Pertama, penyerang menemukan Sentry DSN (Data Source Name) milik target. DSN ini bersifat publik dan memang sengaja disematkan di kode frontend JavaScript, sehingga bisa ditemukan lewat pencarian GitHub atau inspeksi browser.

Kedua, penyerang mengirim event error palsu ke endpoint ingest Sentry melalui HTTP POST. Tidak diperlukan autentikasi selain DSN. Sentry menerima event yang dipalsukan itu sebagai error aplikasi yang sah.

Ketiga, event yang disisipkan tersebut mengandung instruksi berbahaya yang diformat dalam markdown, menyerupai template diagnostik resmi milik Sentry sendiri. Konten ini dirancang agar tidak bisa dibedakan dari saran perbaikan sistem yang sebenarnya.

Keempat, ketika pengembang meminta agen AI coding mereka untuk memperbaiki error Sentry yang belum terselesaikan, agen tersebut melakukan query ke Sentry melalui integrasi MCP. Agen menerima event yang sudah disuntik dan tidak memiliki mekanisme untuk membedakan konten yang dibuat oleh penyerang dari diagnostik aplikasi yang sah.

Kelima, agen memperlakukan instruksi markdown tersebut sebagai panduan perbaikan yang otoritatif dan menjalankan perintah penyerang, seperti menginstal paket npm berbahaya, dengan hak akses penuh milik pengembang.

Tingkat Keberhasilan 85 Persen

Dalam pengujian terkontrol, Tenet Security melaporkan tingkat keberhasilan serangan sebesar 85 persen di seluruh agen AI coding utama. Lebih dari 2.388 organisasi ditemukan terekspos, mulai dari perusahaan senilai 250 miliar dolar AS hingga pengembang individu, termasuk vendor keamanan cloud.

Yang membuat serangan ini sangat berbahaya adalah setiap langkah dalam rantai eksekusi bersifat terotorisasi dan terlihat normal bagi pertahanan keamanan konvensional. Tenet menyebutnya sebagai “Authorized Intent Chain.” Serangan ini berhasil melewati EDR (Endpoint Detection and Response), web application firewall, kontrol IAM, dan VPN karena agen hanya melakukan operasi yang sah menggunakan kredensial pengembang sendiri.

Bahkan ketika agen diberi instruksi untuk mengabaikan data yang tidak tepercaya, agen tetap menjalankan kode berbahaya tersebut. Satu instruksi yang disuntik bisa digunakan untuk mencuri kredensial CI/CD pipeline, mengakses repositori kode sumber pribadi, membahayakan infrastruktur cloud, dan membangun akses persisten.

Sentry Tanggapi dengan Filter Sempit

Tenet Security melaporkan temuan ini kepada Sentry pada 3 Juni 2026. Sentry mengakui masalah tersebut tetapi menolak memperbaikinya secara mendasar, dengan alasan serangan ini “secara teknis tidak bisa dipertahankan” di layer ingest. Sebagai gantinya, Sentry menambahkan filter konten global untuk memblokir satu string payload tertentu.

Para peneliti menilai pendekatan ini hanya mengobati gejala, bukan akar masalah. Celah yang sama bisa dieksploitasi melalui tiket dukungan, GitHub issues, dan dokumentasi, karena masalah sebenarnya terletak pada cara agen menangani data dari luar.

Rekomendasi untuk Pengembang dan Tim Keamanan

Tenet Security mendesak pemimpin keamanan untuk mengenali bahwa integrasi MCP adalah frontier baru untuk serangan rantai pasokan perangkat lunak. Tim keamanan perlu mengevaluasi alat mana yang terhubung ke agen AI mereka, apakah alat tersebut mengembalikan data yang tidak tepercaya, dan kontrol apa yang ada untuk mencegah data yang disuntik berubah menjadi eksekusi kode.

Bagi pengembang yang menggunakan Claude Code, Cursor, atau Codex dengan integrasi Sentry, disarankan untuk segera meninjau konfigurasi MCP dan membatasi kemampuan agen dalam mengeksekusi perintah sistem secara otomatis tanpa konfirmasi manual.***