Masih membeli stasiun perantara AI di Taobao? Pembocor kode asli Claude Code: setidaknya puluhan telah diracuni

Kebocoran kode Claude Code dan penelitian terbaru mengungkapkan, pusat perantara AI yang dijual di pasar menyimpan risiko keamanan siber tersembunyi. Pengujian menunjukkan beberapa pusat perantara mencuri kredensial, kunci pribadi dompet, atau menyuntikkan kode berbahaya, menjadi titik serangan rantai pasokan.

Kebocoran kode Claude Code dan whistleblower mengungkap risiko keamanan pusat perantara AI

Baru-baru ini diterbitkan sebuah makalah penelitian berjudul 《Your Agent Is Mine》, salah satu penulisnya adalah whistleblower yang pertama kali mengungkap kejadian bocornya kode Claude Code, Chaofan Shou.

Makalah ini secara sistematis meneliti ancaman keamanan terhadap router API pihak ketiga dari model bahasa besar (LLM), yang biasa disebut pusat perantara, dan mengungkap bahwa pusat perantara semacam ini bisa menjadi titik serangan rantai pasokan.

Apa itu pusat perantara AI?

Karena pemanggilan LLM menghabiskan banyak Token, menghasilkan biaya komputasi tinggi, pusat perantara AI dapat menggunakan cache untuk mengulang pertanyaan dan latar belakang masalah, membantu pelanggan menghemat biaya secara signifikan.

Selain itu, pusat perantara memiliki fungsi distribusi otomatis model, mampu secara dinamis beralih antara model dengan standar biaya dan performa berbeda sesuai tingkat kesulitan pertanyaan pengguna, dan dapat secara otomatis beralih ke model cadangan saat server model utama terputus, memastikan kestabilan layanan secara keseluruhan.

Pusat perantara sangat populer di Tiongkok karena negara ini tidak dapat langsung menggunakan produk AI luar negeri tertentu, ditambah kebutuhan perusahaan akan lokalitas penagihan, sehingga pusat perantara menjadi jembatan penting antara model hulu dan pengembang hilir. Platform seperti OpenRouter dan SiliconFlow termasuk dalam kategori layanan ini.

Namun, pusat perantara yang tampaknya menurunkan biaya dan hambatan teknis, sebenarnya menyimpan risiko keamanan siber yang sangat besar.

Sumber gambar: makalah penelitian mengungkap risiko serangan rantai pasokan pusat perantara AI

Pusat perantara AI memiliki akses penuh, menjadi celah serangan rantai pasokan

Makalah menyatakan bahwa pusat perantara beroperasi di lapisan aplikasi dari arsitektur jaringan, dan memiliki hak baca lengkap terhadap payload JSON selama transmisi.

Karena tidak ada verifikasi integritas enkripsi end-to-end antara klien dan penyedia model hulu, pusat perantara dapat dengan mudah memeriksa dan mengubah API kunci, prompt sistem, serta parameter panggilan model yang dihasilkan.

Tim peneliti menunjukkan bahwa, sejak Maret 2026, router open-source terkenal LiteLLM pernah diserang dengan serangan kebingungan dependensi, yang memungkinkan penyerang menyuntikkan kode berbahaya ke dalam pipeline permintaan, menyoroti kerentanan di bagian ini.

• **Laporan terkait:**LiteLLM Serangan Penyuntikan Berbahaya: Bagaimana Memeriksa Dompet Kripto dan Kunci Cloud yang Terinfeksi?

Pengujian puluhan pusat perantara AI menunjukkan perilaku berbahaya

Tim peneliti membeli 28 pusat perantara berbayar di platform seperti Taobao, Xianyu, dan Shopify, serta mengumpulkan 400 pusat perantara gratis dari komunitas terbuka untuk pengujian mendalam, hasilnya menunjukkan bahwa dari jumlah tersebut, 1 pusat perantara berbayar dan 8 pusat perantara gratis secara aktif menyuntikkan kode berbahaya.

Dalam sampel pusat perantara gratis, 17 di antaranya mencoba menggunakan kredensial AWS yang disusun oleh peneliti, bahkan 1 pusat perantara secara langsung mencuri cryptocurrency dari dompet Ethereum peneliti.

Data penelitian lebih lanjut menunjukkan bahwa, selama pusat perantara menggunakan kredensial hulu yang bocor berulang kali, atau mengarahkan lalu lintas ke node dengan perlindungan keamanan yang lebih lemah, bahkan pusat perantara yang tampaknya normal pun bisa terlibat dalam serangan yang sama.

Dalam pengujian infeksi, tim menemukan bahwa node yang terpengaruh ini memproses lebih dari 2,1 miliar Token, dan dalam 440 sesi mengungkapkan 99 kredensial nyata, di mana 401 sesi beroperasi secara sepenuhnya otomatis, memungkinkan penyerang menyuntikkan payload berbahaya secara langsung dan mudah, tanpa perlu kondisi trigger yang rumit.

Sumber gambar: makalah penelitian mengungkap bahwa pengujian terhadap lebih dari 400 pusat perantara menunjukkan puluhan pusat perantara AI menunjukkan perilaku berbahaya

Empat metode serangan utama terungkap

Makalah mengklasifikasikan perilaku serangan pusat perantara berbahaya ke dalam dua kategori utama dan dua varian adaptif penghindaran.

• Serangan Penyuntikan Payload: Setelah model hulu mengembalikan hasil, pusat perantara diam-diam mengubah parameter panggilan alat, misalnya mengganti URL yang sah dengan server yang dikendalikan penyerang, menyebabkan kode berbahaya dieksekusi di klien.
• Serangan Kebocoran Informasi Rahasia: Pusat perantara secara pasif memindai lalu lintas transmisi, mencuri API kunci, kredensial AWS, dan kunci pribadi Ethereum serta data sensitif lainnya.

Untuk menghindari deteksi keamanan konvensional, penyerang mengembangkan teknik injeksi dependensi yang menargetkan, mengubah nama paket dalam perintah instalasi paket perangkat lunak, mengganti paket yang sah dengan paket berbahaya yang sama atau mirip yang sudah dipublikasikan di registry terbuka, membangun backdoor rantai pasokan yang permanen di sistem target.

Metode lain adalah pengiriman kondisi tertentu, di mana perilaku berbahaya hanya aktif jika memenuhi kondisi tertentu, misalnya jika jumlah permintaan melebihi 50 kali, atau saat mendeteksi sistem beroperasi secara otomatis penuh (mode YOLO), sehingga menghindari deteksi keamanan terbatas.

Tiga langkah perlindungan yang dapat dilakukan

Menghadapi serangan rantai pasokan yang menyuntikkan poison ke pusat perantara AI, makalah mengusulkan tiga langkah perlindungan yang praktis:

• Implementasi kebijakan pengendalian untuk alat berisiko tinggi: Memeriksa dan memblokir domain atau perintah instalasi paket yang tidak sah, mekanisme ini dapat menahan sebagian besar serangan penyuntikan payload dengan tingkat kesalahan kurang dari 1%.
• Sistem penyaringan abnormal di sisi respons: Mampu menandai 89% sampel payload berbahaya dengan tingkat kesalahan 6,7%, membantu pengembang melakukan review manual secara efektif.
• Pencatatan log transparansi tambahan: Meskipun tidak dapat mencegah serangan, mekanisme ini menyimpan hash dari permintaan dan respons, memungkinkan pelacakan dan penilaian kerusakan saat terjadi insiden keamanan.

Seruan kepada penyedia model hulu untuk membangun mekanisme verifikasi kriptografi

Meskipun mekanisme pertahanan di sisi klien dapat mengurangi risiko saat ini, mereka tidak mampu menyelesaikan kerentanan verifikasi identitas sumber secara fundamental. Selama tindakan modifikasi pusat perantara tidak memicu alarm keamanan di sisi klien, penyerang tetap dapat dengan mudah mengubah makna eksekusi program dan melakukan kerusakan.

Untuk benar-benar melindungi ekosistem agen AI, akhirnya harus bergantung pada penyedia model hulu yang mendukung mekanisme verifikasi kriptografi dalam responsnya. Hanya dengan mengikat hasil model secara ketat dengan instruksi akhir yang dijalankan di klien melalui enkripsi, kita dapat memastikan integritas data end-to-end dan secara menyeluruh mencegah risiko rantai pasokan dari modifikasi data oleh pusat perantara.

Baca selengkapnya:
OpenAI menggunakan Mixpanel bermasalah! Mengakibatkan bocornya data pengguna, berhati-hati terhadap email phishing

Kesalahan copy-paste menyebabkan hilangnya 50 juta dolar! Penipuan alamat kripto dengan penyuntikan berulang, bagaimana cara mencegahnya