Celah Keamanan Kritis (Skor Max) pada ChromaDB Intai Aplikasi AI: Izinkan Peretas Bajak Server via Hugging Face

Dunia pengembangan kecerdasan buatan kembali menghadapi alarm bahaya setelah ditemukannya celah keamanan dengan tingkat keparahan maksimum (max-severity flaw) pada basis data vektor populer, ChromaDB. Kerentanan ini memungkinkan penyerang tanpa otentikasi (unauthenticated attackers) untuk mengeksekusi kode acak secara jarak jauh (Remote Code Execution – RCE) dan mengambil alih kontrol peladen (server hijacking).

Celah kritis yang dilacak di bawah kode CVE-2026-45829 ini pertama kali dilaporkan pada 17 Februari oleh firma keamanan kecerdasan buatan, HiddenLayer. Kerentanan ini mengintai logika backend Python FastAPI pada ChromaDB—sebuah ekosistem database komponen AI yang mencatatkan hampir 14 miliun unduhan bulanan di repositori PyPI.

Mekanisme Bypass: Otentikasi Datang Terlambat

ChromaDB merupakan salah satu pilar krusial dalam arsitektur AI modern (Retrieval-Augmented Generation atau RAG dan Agentic AI) yang berfungsi mencari dan menarik dokumen yang relevan secara semantik saat LLM melakukan proses inferensi.

HiddenLayer mengungkapkan bahwa kegagalan fatal pada versi Python API server ini terjadi akibat salah meletakkan urutan pemeriksaan keamanan pada endpoint API:

1. Penyisipan Pengaturan Model: Penyerang mengirimkan permintaan khusus (crafted request) yang berisi instruksi untuk memuat pengaturan model eksternal.
2. Eksekusi Sebelum Validasi: Sistem ChromaDB secara otomatis membaca instruksi tersebut, lalu pergi mengunduh serta mengeksekusi model berbahaya dari platform Hugging Face secara lokal di dalam mesin server.
3. Respons Eror yang Sia-Sia: Tepat setelah model berbahaya tersebut selesai dieksekusi, barulah sistem otentikasi ChromaDB berjalan. Sistem kemudian menyadari bahwa pengguna tidak memiliki hak akses, menolak permintaan tersebut, dan melemparkan status Error 500.

⚠️ Catatan Peneliti: “Sistem otentikasinya tidak hilang, posisinya saja yang salah tempat,” jelas tim peneliti HiddenLayer. “Saat pemeriksaan otentikasi itu akhirnya dipicu, muatan berbahaya (payload) milik peretas sudah terlanjur berjalan sukses di dalam server.”

Dampak Paparan Global dan Ketidakpastian Patch

Berdasarkan hasil pemindaian di mesin pencari internet Shodan, situasinya terhitung cukup mengkhawatirkan: sekitar 73% dari seluruh instans ChromaDB yang terekspos terbuka di internet saat ini menjalankan versi yang rentan.

Celah keamanan ini dikonfirmasi mulai menyusup sejak perilisan ChromaDB versi 1.0.0. Hingga versi 1.5.8, celah ini dipastikan masih menganga tanpa perbaikan (unpatched). Meskipun pihak pengembang telah merilis versi 1.5.9 sekitar dua minggu lalu, belum ada kepastian resmi apakah pembaruan tersebut telah menutup celah CVE-2026-45829 ini atau belum.

Baik tim peneliti HiddenLayer maupun jurnalis keamanan siber dari BleepingComputer mengeklaim telah berulang kali mengirimkan surel dan menghubungi tim Chroma sejak Februari, namun belum mendapatkan respons resmi hingga artikel ini diterbitkan.

Siapa Saja yang Aman dari CVE-2026-45829?

Kabar baiknya, Anda berada di zona aman jika model implementasi Anda memenuhi kriteria berikut:

• Mendeploy ChromaDB secara lokal di dalam jaringan privat tanpa membuka port API server ke internet publik.
• Menggunakan arsitektur berbasis Rust front-end milik ChromaDB, karena bug arsitektur ini murni bersarang pada logika server Python FastAPI.

Panduan Mitigasi Darurat untuk Tim DevOps AI

Selagi menunggu konfirmasi resmi dan rilis patch permanen yang tervalidasi dari tim pengembang Chroma, para administrator infrastruktur AI sangat disarankan untuk segera mengambil langkah penyelamatan berikut:

1. Isolasi Jaringan (Restriksi Port): Tutup akses publik menuju port API ChromaDB. Manfaatkan firewall, konfigurasi VPC, atau gunakan VPN/SSH Tunnel jika tim pengembang internal memerlukan akses ke database vektor tersebut.
2. Migrasi ke Rust Frontend: Jika memungkinkan secara arsitektur, alihkan implementasi deployment Anda ke opsi Rust frontend guna mengeliminasi kerentanan berbasis Python ini.
3. Matikan ‘Trust Remote Code’: Jangan pernah membiarkan server AI Anda memuat artefak model publik dari luar secara otomatis dengan status trust_remote_code=True tanpa melakukan pemindaian (scanning) berkas model terlebih dahulu sebelum masuk ke runtime.