Security

Agen Kode AI Amazon Diretas, Peretas Sisipkan Perintah Penghapus Data

July 26, 2025
1 minute read
Agen Kode AI Amazon Diretas, Peretas Sisipkan Perintah Penghapus Data
Agen Kode AI Amazon Diretas, Peretas Sisipkan Perintah Penghapus Data

Amazon mengonfirmasi bahwa salah satu proyek eksperimental AI mereka, sebuah coding agent berbasis generatif, telah dieksploitasi oleh peneliti keamanan untuk menjalankan perintah berbahaya yang berpotensi menghapus data pengguna. Temuan ini menunjukkan risiko serius pada implementasi AI otomatis dalam pengembangan perangkat lunak, khususnya jika tidak dibatasi dengan kontrol keamanan yang memadai.

Eksperimen AI Amazon dalam Pengembangan Kode

Proyek yang dimaksud adalah bagian dari inisiatif internal Amazon dalam membangun agen AI otonom yang dapat menulis, menguji, dan menyebarkan kode secara otomatis, termasuk pengelolaan infrastruktur cloud. Sistem ini dirancang untuk berinteraksi dengan layanan AWS menggunakan bahasa alami, lalu menerjemahkannya menjadi aksi nyata seperti modifikasi konfigurasi, penyebaran API, atau manajemen server.

Namun, proyek ini masih berada dalam tahap penelitian dan belum digunakan dalam produksi nyata.

Penyusupan melalui Prompt Injection

Seorang peneliti keamanan berhasil mengeksploitasi agen AI tersebut dengan teknik prompt injection, yakni dengan menyisipkan instruksi terselubung dalam dokumen markdown yang dibaca oleh agen. Instruksi tersebut, yang diformat sebagai komentar HTML tak terlihat, berhasil dibaca dan dijalankan oleh sistem AI seolah-olah itu adalah perintah sah.

Hasilnya, agen AI mengeluarkan serangkaian perintah yang dapat menghapus direktori penting dan merusak sistem secara permanen, termasuk instruksi untuk menjalankan rm -rf / --no-preserve-root.

Respons Amazon dan Implikasi Keamanan

Amazon mengakui bahwa eksploitasi tersebut berhasil karena kurangnya pembatasan eksekusi langsung terhadap input dari pengguna. Perusahaan menegaskan bahwa tidak ada sistem produksi atau data pelanggan yang terdampak, dan eksperimen ini berjalan di lingkungan yang terisolasi.

Meski demikian, insiden ini menjadi peringatan penting mengenai ancaman nyata dari prompt injection, terutama dalam konteks AI otonom yang diberi akses sistem tinggi. Amazon menyatakan bahwa mereka kini fokus pada penguatan sandboxing, validasi prompt, serta pembatasan eksekusi untuk mencegah insiden serupa.

Ancaman Baru di Era AI Otonom

Kasus ini mempertegas bahwa model bahasa besar (LLM) yang diberi wewenang untuk melakukan tindakan langsung di sistem TI membutuhkan pengamanan tambahan. Prompt injection bukan hanya masalah teknis sederhana, melainkan bisa menjadi vektor serangan serius ketika AI dijadikan pengambil keputusan operasional.

Pakar keamanan menyerukan agar pengembangan agen AI dengan kemampuan eksekusi sistem diiringi pendekatan zero trust, audit ketat, serta pengujian keamanan menyeluruh sejak tahap eksperimen.

Sumber: Amazon AI coding agent hacked to inject data-wiping commands

Tags
July 26, 2025
1 minute read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button