Kekurangan Keamanan dalam Antigravity Google Memungkinkan Pelaku Ancaman Eksekusi Kode Jarak Jauh

Kekurangan Keamanan dalam Antigravity Google Memungkinkan Pelaku Ancaman Eksekusi Kode Jarak Jauh

Saat organisasi mulai mengadopsi AI berbasis agen untuk operasional bisnis dan TI, para peneliti terus menemukan kerentanan dalam model AI komersial yang dapat memperluas permukaan serangan secara signifikan. Baru-baru ini, tim peneliti dari Pillar Security mengungkapkan adanya celah keamanan dalam Antigravity, alat pengembang AI berbasis Google untuk operasi sistem berkas.

Celah Keamanan yang Memungkinkan Eksekusi Kode Berbahaya

Kerentanan ini, yang telah diperbaiki oleh Google, memungkinkan serangan kombinasi prompt injection dengan kemampuan Antigravity untuk membuat berkas. Hal ini memberikan pelaku ancaman akses eksekusi kode jarak jauh meskipun sistem keamanan tertinggi Google, yakni Secure Mode, telah diaktifkan.

Secure Mode dirancang untuk membatasi akses agen AI ke sistem sensitif dan mencegah eksekusi perintah berbahaya melalui shell. Namun, salah satu alat pencarian berkas Antigravity, bernama find_by_name, diklasifikasikan sebagai alat sistem native. Ini memungkinkan agen mengeksekusi alat tersebut secara langsung sebelum Secure Mode dapat mengevaluasi operasi perintah.

"Batasan keamanan yang diterapkan Secure Mode sama sekali tidak melihat panggilan ini. Artinya, pelaku ancaman dapat mencapai eksekusi kode arbitrer di bawah konfigurasi yang diandalkan pengguna sadar keamanan untuk mencegahnya."
— Dan Lisichkin, Peneliti Keamanan AI, Pillar Security

Serangan Prompt Injection Melalui Masukan yang Tidak Divalidasi

Serangan prompt injection dapat dikirim melalui akun identitas yang terkompromikan atau melalui berkas sumber terbuka yang disusupi instruksi jahat. Antigravity kesulitan membedakan antara data tertulis yang digunakan untuk konteks dan instruksi prompt literal, sehingga serangan dapat terjadi tanpa akses istimewa dengan memaksa agen membaca dokumen berbahaya.

Menurut jadwal pengungkapan Pillar Security, celah ini dilaporkan ke Google pada 6 Januari dan diperbaiki pada 28 Februari. Google memberikan penghargaan bug bounty atas penemuan ini.

Risiko Serupa dalam AI Lainnya

Lisichkin menyebut pola serangan serupa melalui masukan yang tidak divalidasi juga ditemukan pada agen AI pengkodean lain seperti Cursor. Di era AI, setiap masukan yang tidak divalidasi berpotensi menjadi prompt jahat yang dapat membajak sistem internal.

"Model kepercayaan yang mendasari asumsi keamanan, yakni manusia akan menangkap sesuatu yang mencurigakan, tidak berlaku lagi ketika agen otonom mengikuti instruksi dari konten eksternal."
— Dan Lisichkin

Dampak dan Rekomendasi Keamanan

Kemampuan celah ini untuk melewati Secure Mode menunjukkan bahwa industri keamanan siber harus beralih dari kontrol berbasis sanitization dan lebih adaptif. Lisichkin menekankan pentingnya audit menyeluruh terhadap parameter alat native yang terhubung ke perintah shell.

Rekomendasi utama:

• Lakukan audit menyeluruh terhadap semua alat native yang dapat dieksekusi oleh agen AI.
• Validasi semua masukan eksternal sebelum diproses oleh agen AI.
• Perbarui sistem keamanan untuk mendeteksi dan mencegah prompt injection secara proaktif.
• Terapkan prinsip least privilege untuk membatasi akses agen AI ke sistem sensitif.

Celah keamanan ini menjadi pengingat penting bahwa sistem AI berbasis agen memerlukan pendekatan keamanan yang lebih ketat dan inovatif untuk melindungi dari ancaman yang terus berkembang.