Serangan “Agentjacking” Bisa Kendalikan Agen Coding AI, Claude Code dan Cursor Ikut Terdampak

CLB.my.id - Peneliti keamanan dari Tenet Security mengungkap kelas serangan baru yang mereka sebut “agentjacking.” Serangan ini menargetkan agen coding AI dengan mengeksploitasi kelemahan arsitektur pada alat pengembang populer Sentry, yang digunakan untuk pemantauan performa dan pelacakan error.

Dengan tingkat keberhasilan 85% saat diuji terhadap agen coding AI paling populer di pasaran, termasuk Claude Code, Cursor, dan Codex, serangan ini menunjukkan betapa rapuhnya kepercayaan yang diberikan agen AI terhadap data dari alat eksternal.

“Bahayanya terletak pada kepercayaan implisit ini. Ketika agen AI mengkueri Sentry untuk error yang belum terselesaikan, ia menerima respons dan bertindak berdasarkan itu, persis seperti yang dilakukan pengembang manusia. Tapi berbeda dari pengembang, agen tidak bisa memverifikasi apakah event error dihasilkan oleh crash aplikasi nyata atau disuntikkan oleh penyerang,” jelas Tenet Security.

Cara Kerja Serangan

Mekanisme serangan agentjacking memanfaatkan Model Context Protocol (MCP), protokol yang memungkinkan agen AI terhubung ke alat pengembang eksternal. Berikut alurnya:

Penyerang pertama-tama mencari Data Source Name (DSN) Sentry milik target. DSN ini bersifat publik dan sengaja disematkan di kode JavaScript frontend. Setelah mendapatkannya, penyerang mengirim event error yang sudah dimodifikasi ke endpoint ingest Sentry melalui POST, tanpa perlu autentikasi apa pun selain DSN.

Event berbahaya ini dirancang dengan format markdown dan konteks yang meniru template sistem Sentry saat dikembalikan ke agen. Ketika pengembang kemudian meminta agen AI-nya untuk “memperbaiki error Sentry yang belum terselesaikan,” agen akan mengkueri Sentry melalui MCP dan menerima event berbahaya tersebut.

Karena tidak bisa membedakan data yang disuntikkan dari panduan yang sah, agen AI menjalankan kode tersebut dengan hak akses penuh milik pengembang.

Skala Paparan yang Luas

Tenet Security menemukan setidaknya 2.388 organisasi dengan DSN yang valid dan bisa disuntikkan. Serangan ini sangat berbahaya karena tidak memerlukan phishing sama sekali. Konten berbahaya tidak bisa dibedakan dari panduan Sentry yang asli, sehingga lolos dari alat keamanan seperti EDR dan firewall.

Satu payload yang sudah dibuat bisa disuntikkan ke ribuan proyek secara bersamaan. Dampaknya pun serius: pencurian kredensial CI/CD pipeline, akses ke repositori kode pribadi, kompromi infrastruktur cloud, dan pembangunan akses persisten.

Ancaman Baru untuk Ekosistem Developer

Temuan ini menggarisbawahi masalah mendasar dalam ekosistem agen AI yang terhubung ke alat eksternal melalui MCP. Saat satu agen yang sudah di-jailbreak bisa membantu agen lain menghindari kontrol keamanan, evaluasi keamanan berbasis model tunggal menjadi tidak lagi memadai.

Tenet Security menegaskan bahwa integrasi MCP adalah garis depan berikutnya untuk serangan rantai pasok perangkat lunak. Pemimpin keamanan perlu mengevaluasi alat mana yang terhubung ke agen AI mereka, apakah alat tersebut mengembalikan data yang tidak tepercaya, dan kontrol apa yang ada untuk mencegah data yang disuntikkan memicu eksekusi kode secara otomatis.

“Meskipun agen coding AI mengubah pengembangan perangkat lunak, kepercayaan implisit mereka terhadap respons alat MCP menciptakan titik serang kritis yang baru. Kenyamanan asisten AI yang terhubung ke platform observasi Anda datang bersama risiko bahwa asisten tersebut bisa dijadikan senjata melawan Anda,” pungkas laporan Tenet Security.

Apa Artinya bagi Developer Indonesia

Temuan Tenet Security ini relevan bagi komunitas developer Indonesia yang semakin banyak menggunakan agen coding AI seperti Cursor, Claude Code, dan Codex dalam alur kerja sehari-hari. Penggunaan Sentry sebagai alat monitoring juga sangat umum di kalangan startup dan perusahaan teknologi Tanah Air.

Serangan agentjacking tidak memerlukan akses fisik atau kredensial curian. Cukup dengan mengetahui DSN Sentry yang bersifat publik, penyerang sudah bisa menyuntikkan payload berbahaya. Ini berarti setiap organisasi yang menggunakan Sentry berpotensi menjadi target, terlepas dari ukurannya.

Yang membuat situasi semakin kompleks adalah sifat MCP yang dirancang untuk mempermudah integrasi antara agen AI dan alat pengembang. Kemudahan ini justru menjadi kelemahan ketika agen tidak memiliki mekanisme verifikasi yang memadai untuk membedakan data sah dari data yang sudah dimanipulasi.

Tenet Security merekomendasikan tiga langkah konkret bagi pemimpin keamanan: pertama, evaluasi alat mana yang terhubung ke agen AI di lingkungan kerja; kedua, pastikan apakah alat tersebut mengembalikan data yang tidak tepercaya; ketiga, terapkan kontrol untuk mencegah data yang disuntikkan memicu eksekusi kode secara otomatis.

Insiden ini juga menambah daftar panjang serangan terhadap ekosistem agen AI yang terus berkembang. Sebelumnya, serangan serupa terhadap rantai pasok npm dan PyPI juga menunjukkan bagaimana alat pengembang bisa dimanfaatkan sebagai jalur serangan. Dengan semakin banyaknya agen AI yang diintegrasikan ke alur kerja produksi, permukaan serangan akan terus meluas.***