Pemimpin pemikiran

Ketika AI Menjadi Permukaan Serangan: Risiko Rantai Pasokan yang Muncul di Pasar Keterampilan

mm
Diterbitkan

Setiap revolusi perangkat lunak besar memperkenalkan rantai pasokan dan permukaan serangan baru. Seperti era sumber terbuka yang memperkenalkan risiko rantai pasokan melalui registri paket seperti npm dan PyPI, agen AI sekarang menandai titik balik. Agen-agen ini, yang aktif dalam alur kerja pengembang, operasi perusahaan, dan aplikasi konsumen di platform seperti OpenClaw, Claude Code, dan Cursor, mendapatkan kekuatan dari ekstensi mereka melalui “keterampilan” yang dapat diinstal – kemampuan yang memerlukan pendekatan keamanan yang sama ketat.

Keterampilan agen adalah paket kemampuan: bundel kecil instruksi dan skrip yang memberikan akses agen AI ke alat, API eksternal, dan sistem file lokal. Didistribusikan di platform publik seperti ClawHub, batasan untuk memulai sangat rendah, dengan verifikasi atau pengawasan minimal. Langkah-langkah keamanan kunci seperti tanda tangan kode wajib, tinjauan keamanan, dan sandboxing default tidak ada. Ini telah menyebabkan rantai pasokan yang dikompromikan secara besar-besaran: penelitian ToxicSkills yang memindai hampir 4.000 keterampilan menemukan sekitar 1 dari 8 keterampilan mengandung setidaknya satu kerentanan keamanan kritis, termasuk distribusi malware dan injeksi prompt. Ketika diperluas ke tingkat keparahan apa pun, lebih dari sepertiga ekosistem terkena dampak. Oleh karena itu, pemimpin keamanan harus siap untuk proaktif memitigasi kerentanan-kerentanan ini.

Anatomi Serangan Rantai Pasokan AI

Serangan rantai pasokan secara tradisional mengeksploitasi kode melalui fungsi berbahaya yang disuntikkan ke dalam dependensi dan alur kerja CI untuk tindakan seperti eksfiltrasi data, pemasangan backdoor, atau eskalasi privilegi. Namun, alat keamanan telah menjadi efektif dalam mendeteksi pola kode ini menggunakan analisis statis dan pemantauan perilaku. Keterampilan agen AI memperkenalkan vektor yang berbeda, karena payload utama mereka adalah bahasa alami, yang terkandung dalam file SKILL.md – sebuah set instruksi yang aktor berbahaya telah belajar untuk mengeksploitasi. Penelitian ToxicSkills menunjukkan 91% keterampilan berbahaya menggabungkan malware tradisional dengan injeksi prompt, menyematkan instruksi tersembunyi yang memanipulasi alasan agen pada runtime.

Alur serangan sangat sederhana: pengembang menginstal keterampilan yang berguna, yang mengandung injeksi prompt tersembunyi yang dirancang untuk menggantikan penghalang keamanan agen. Agen, mengikuti instruksi yang tidak dapat dibedakan dari instruksi yang sah, mencuri kredensial, mengekstrak file, atau menginstal backdoor sambil tampaknya berfungsi normal.

Hal ini sangat mengkhawatirkan karena sejumlah pengembang menjalankan agen tanpa pemeriksaan keamanan reguler, memberikan agen otonomi penuh tanpa penghalang. Sebagai hasilnya, pertimbangan yang cermat dan campur tangan manusia sangat diminimalkan, mempresentasikan lebih banyak risiko untuk setiap sistem yang pernah disentuh agen.

Bahaya Tersembunyi dari “Keterampilan Bocor”

Bahaya ini meluas tidak hanya pada keterampilan yang berbahaya secara sengaja, tetapi juga pada kerentanan yang tidak disengaja, yang seringkali lebih sulit dideteksi, lebih tersebar luas, dan tertanam dalam keterampilan fungsional yang populer dan tepercaya. Audit keamanan pasar keterampilan utama menunjukkan keterampilan yang banyak digunakan secara teratur memaksa agen AI untuk menangani data sensitif secara tidak aman. Perilaku berisiko termasuk memaparkan kunci API, token autentikasi, dan data pribadi melalui log plaintext, file yang tidak dilindungi, atau langsung dalam jendela konteks model, di mana mereka dapat secara tidak sengaja dikirim ke layanan pihak ketiga.

Hal ini seringkali disebabkan oleh keterampilan yang dibangun dengan cepat dalam era “pemrograman getaran” tanpa model keamanan yang sebenarnya. Pengembang mungkin mengabaikan bahwa token integrasi, setelah berada dalam konteks agen, secara efektif terbuka dan terlihat oleh setiap sistem hilir. Ini menciptakan risiko yang meluas di seluruh platform – asisten pribadi seperti OpenClaw dan agen pengkodean seperti Claude Code, Cursor, dan Windsurf – yang jutaan pengembang andalkan setiap hari. Eksploitasi atau kebocoran kredensial dari satu keterampilan populer dapat mempengaruhi setiap pengembang, basis kode, dan sistem yang pernah diakses agen, sehingga meninggalkan seluruh rantai pasokan dalam bahaya. Inovasi cepat memungkinkan kontaminasi cepat; dan dalam kasus ini, skala tidak menjadi sinyal keamanan.

Titik Buta: Mengapa Kontrol Keamanan Tradisional Gagal

Tim keamanan yang beroperasi dengan kontrol legacy seperti pemindai malware, analisis statis, dan pemantauan perilaku, sedang menangani model ancaman yang secara fundamental berbeda. Deteksi malware tradisional mencari eksploitasi kode konkret, tetapi tidak dilengkapi untuk menganalisis instruksi bahasa alami untuk niat berbahaya. Injeksi prompt dalam file SKILL.md tampak, bagi pemindai konvensional, hanya sebagai dokumentasi; tidak ada tanda tangan untuk membenderak sampai agen bertindak.

Injeksi prompt memanipulasi alasan agen, menyebabkannya menafsirkan ulang instruksi dan mengesampingkan pedoman keamanan untuk melanjutkan tindakan yang dilarang. Pada saat kerusakan terlihat, agen sudah bertindak. Persistensi ancaman ini juga mengkhawatirkan: keterampilan berbahaya dapat meracuni memori jangka panjang agen, merusak konteks persisten di seluruh sesi. Skenario “agen tidur” ini berarti agen mungkin terus mengeksekusi instruksi berbahaya minggu setelah keterampilan dihapus, situasi yang tanggapan insiden konvensional tidak dapat mengandung. Menutup celah ini memerlukan pendekatan yang secara fundamental berbeda, yang dibangun untuk sistem agenik.

Mendeteksi dan Mengatasi Kekurangan dalam Ekosistem Keterampilan Agen

Ancaman baru ini dapat dikelola, tetapi jendela untuk bertindak sangat sempit. Sebelum adopsi agen AI memantapkan diri, pemimpin keamanan perlu membangun empat kontrol inti: audit, deteksi dini, rotasi kredensial, dan penghalang AI yang tepat.

  1. Audit dan Inventori: Buat inventori lengkap dari setiap komponen AI: model, agen yang diterapkan, dan semua keterampilan yang diinstal. Ini harus dianggap dengan ketat seperti daftar bahan perangkat lunak (SBOM) untuk membuat baseline untuk mendeteksi perubahan tidak sah.
  2. Deteksi dan Hapus: Pindai keterampilan aktif secara terus-menerus untuk payload berbahaya, pola injeksi prompt, dan perilaku mencurigakan, termasuk upaya untuk menjalankan perintah shell atau melewati pengawasan pengguna. Pemindaian otomatis dan terus-menerus sangat penting mengingat pertumbuhan cepat pasar.
  3. Putar dan Lindungi Kredensial: Perlakukan setiap kredensial (kunci API, token) yang ditangani oleh keterampilan yang tidak diverifikasi sebagai kompromi potensial dan putar segera. Agen harus mematuhi prinsip akses minimal, mengakses hanya kredensial dan sistem yang benar-benar diperlukan, tanpa akses tetap ke lingkungan produksi.
  4. Terapkan Penghalang AI: Terapkan kontrol perlindungan runtime yang memantau perilaku agen secara real-time, memblokir tindakan berbahaya dan membenderak pola aneh seperti akses file yang tidak terduga. File memori agen, khususnya, harus dipantau untuk perubahan tidak sah, karena keracunan memori adalah vektor serangan yang persisten dan sulit dideteksi.

Ekosistem keterampilan agen AI adalah rantai pasokan perangkat lunak yang memerlukan pengawasan keamanan yang ketat. Sementara pelajaran dari era sumber terbuka berlaku, taruhannya sekarang jauh lebih tinggi, karena agen AI beroperasi dengan izin yang lebih luas dan otonomi yang lebih besar daripada manajer paket apa pun. Keterampilan yang dikompromikan tunggal dapat dengan cepat menyebar, mendapatkan akses ke kredensial inti dan sistem produksi di seluruh ribuan organisasi, sehingga pemimpin keamanan memiliki jendela sempit untuk bertindak proaktif.

Rantai pasokan AI sudah ada. Pertanyaannya adalah apakah postur keamanan organisasi sudah siap untuk itu. Organisasi yang membangun inventori, menerapkan akses minimal, dan menerapkan penghalang runtime akan bergerak cepat dengan AI secara aman; sementara mereka yang menunggu insiden dengan profil tinggi untuk memaksa masalah akan menemukan bahwa biaya mitigasi jauh melebihi biaya pencegahan.

mm

Manoj memimpin Snykโ€™s Kantor Teknologi dan Solusi Muncul (ETSO). Timnya bertanggung jawab untuk inkubasi dan strategi akuisisi masa depan perusahaan, memastikan visi dan strategi jangka panjang Snyk sepenuhnya sejalan dengan kebutuhan pelanggan yang muncul. Sebelum Snyk, Manoj menjabat sebagai Chief Cloud Officer dan General Manager of Metallic di Commvault, di mana ia mempercepat pertumbuhan unit bisnis cloud dan SaaS yang sangat penting dari perusahaan. Sebelumnya, ia adalah co-pendiri dan CEO dari HyperGrid dan telah menjabat sebagai posisi kepemimpinan produk tambahan di Hewlett Packard Enterprise, Dell EMC, dan RSA Security. Manoj juga memegang lebih dari selusin paten manajemen informasi dan keamanan.