Masih membeli stasiun perantara AI di Taobao? Pembocor kode sumber Claude Code: setidaknya puluhan telah diracuni

Kebocoran kode sumber Claude Code, whistleblower terbaru mengungkapkan, pusat perantara AI yang dijual di pasar menyimpan risiko keamanan siber tersembunyi. Pengujian menunjukkan bahwa beberapa pusat perantara mencuri kredensial, kunci pribadi dompet, atau menyuntikkan kode berbahaya, menjadi titik serangan rantai pasokan.

Kebocoran kode sumber Claude Code oleh whistleblower, mengungkap risiko keamanan pusat perantara AI

Baru-baru ini diterbitkan sebuah makalah penelitian berjudul 《Your Agent Is Mine》, salah satu penulisnya adalah whistleblower yang pertama kali mengungkap kejadian kebocoran kode sumber Claude Code, Chaofan Shou.

Makalah ini secara sistematis meneliti ancaman keamanan pada router API pihak ketiga untuk model bahasa besar (LLM), yang biasa disebut pusat perantara, dan mengungkap bahwa pusat perantara semacam ini bisa menjadi titik serangan rantai pasokan.

Apa itu pusat perantara AI?

Karena pemanggilan LLM menghabiskan banyak Token, menghasilkan biaya komputasi tinggi, pusat perantara AI dapat menggunakan cache untuk mengulang pertanyaan dan latar belakang masalah, membantu pelanggan menghemat biaya secara signifikan.

Selain itu, pusat perantara memiliki fungsi distribusi otomatis model, mampu secara dinamis beralih antara model dengan standar biaya dan performa berbeda sesuai tingkat kesulitan pertanyaan pengguna, dan dapat secara otomatis beralih ke model cadangan saat server model utama mati, memastikan kestabilan layanan secara keseluruhan.

Pusat perantara sangat populer di Tiongkok karena negara ini tidak dapat langsung menggunakan produk AI luar negeri tertentu, ditambah kebutuhan perusahaan akan lokalitas penagihan, sehingga pusat perantara menjadi jembatan penting antara model hulu dan pengembang hilir. Termasuk platform seperti OpenRouter dan SiliconFlow, semuanya termasuk layanan semacam ini.

Namun, pusat perantara yang tampaknya menurunkan biaya dan hambatan teknis, sebenarnya menyimpan risiko keamanan siber yang sangat besar.

Sumber gambar: makalah penelitian mengungkap risiko serangan rantai pasokan pada pusat perantara AI

Pusat perantara AI memiliki akses penuh, menjadi celah serangan rantai pasokan

Makalah menyebutkan bahwa pusat perantara beroperasi di lapisan aplikasi dari arsitektur jaringan, dan memiliki hak akses lengkap untuk membaca data payload JSON selama transmisi.

Karena tidak ada verifikasi integritas enkripsi end-to-end antara klien dan penyedia model hulu, pusat perantara dapat dengan mudah memeriksa dan memanipulasi API key, prompt sistem, serta parameter panggilan model yang dihasilkan.

Tim peneliti menunjukkan bahwa, sejak Maret 2026, router open-source terkenal LiteLLM pernah diserang dengan serangan kebingungan dependensi, yang memungkinkan penyerang menyuntikkan kode berbahaya ke dalam pipeline permintaan, menyoroti kerentanan di bagian ini.

• **Laporan terkait:**Ringkasan serangan penyuntikan berbahaya LiteLLM: Bagaimana memeriksa dompet terenkripsi dan kunci cloud yang mungkin bermasalah?

Pengujian puluhan pusat perantara AI menunjukkan perilaku berbahaya

Tim peneliti membeli 28 pusat perantara berbayar di platform seperti Taobao, Xianyu, dan Shopify, serta mengumpulkan 400 pusat perantara gratis dari komunitas terbuka untuk pengujian mendalam, hasilnya menunjukkan bahwa dari jumlah tersebut, 1 pusat perantara berbayar dan 8 pusat perantara gratis secara aktif menyuntikkan kode berbahaya.

Dalam sampel pusat perantara gratis, 17 di antaranya mencoba menggunakan kredensial AWS yang disusun oleh peneliti, dan 1 pusat perantara secara langsung mencuri cryptocurrency dari dompet Ethereum peneliti.

Data penelitian lebih lanjut menunjukkan bahwa, selama pusat perantara menggunakan kredensial hulu yang bocor berulang kali, atau mengarahkan lalu lintas ke node dengan perlindungan keamanan yang lemah, bahkan pusat perantara yang tampaknya normal pun bisa terlibat dalam serangan yang sama.

Dalam pengujian infeksi, tim menemukan bahwa node yang terpengaruh ini memproses lebih dari 2,1 miliar Token, dan dalam 440 sesi mengungkapkan 99 kredensial nyata, di mana 401 sesi beroperasi secara sepenuhnya otomatis, memungkinkan penyerang menyuntikkan payload berbahaya secara langsung dan mudah, tanpa perlu kondisi trigger yang rumit.

Sumber gambar: makalah penelitian mengungkap bahwa pengujian terhadap lebih dari 400 pusat perantara menunjukkan puluhan pusat perantara AI menunjukkan perilaku berbahaya

Empat metode serangan utama terungkap

Makalah mengklasifikasikan perilaku serangan dari pusat perantara berbahaya menjadi dua kategori utama dan dua varian penghindaran adaptif.

• Serangan injeksi payload: Setelah model hulu mengembalikan hasil, pusat perantara diam-diam mengubah parameter panggilan alat, misalnya mengganti URL yang sah dengan server yang dikendalikan penyerang, menyebabkan kode berbahaya dieksekusi di klien.
• Serangan kebocoran data rahasia: Pusat perantara secara pasif memindai lalu lintas transmisi, mencuri API key, kredensial AWS, dan kunci pribadi Ethereum serta data sensitif lainnya.

Untuk menghindari deteksi keamanan konvensional, penyerang mengembangkan teknik injeksi dependensi yang menargetkan, mengubah nama paket dalam perintah instalasi perangkat lunak, mengganti paket yang sah dengan paket berbahaya yang sama atau mirip yang sudah dipublikasikan di registri terbuka, membangun backdoor rantai pasokan yang permanen di sistem target.

Metode lain adalah pengiriman kondisi tertentu, di mana perilaku berbahaya hanya aktif jika kondisi tertentu terpenuhi, misalnya jika jumlah permintaan melebihi 50 kali, atau saat sistem berada dalam mode otomatis penuh (YOLO), sehingga menghindari deteksi keamanan terbatas.

Tiga langkah perlindungan yang dapat dilakukan

Menghadapi serangan rantai pasokan terhadap AI pusat perantara yang menyuntikkan malware, makalah mengusulkan tiga langkah perlindungan yang praktis:

• Implementasi kebijakan pengendalian untuk alat berisiko tinggi: Memeriksa dan memblokir domain atau perintah instalasi paket yang tidak sah, dengan tingkat kesalahan sekitar 1%, mampu menahan sebagian besar serangan injeksi payload.
• Sistem penyaringan abnormal di sisi respons: Mampu menandai 89% sampel payload berbahaya dengan tingkat kesalahan sekitar 6,7%, membantu pengembang melakukan peninjauan manual secara efektif.
• Pencatatan log transparansi tambahan: Meskipun tidak dapat mencegah serangan, mekanisme ini menyimpan hash permintaan dan respons, memungkinkan pelacakan dan penilaian kerusakan saat terjadi insiden keamanan.

Seruan kepada penyedia model hulu untuk membangun mekanisme verifikasi kriptografi

Meskipun mekanisme pertahanan di sisi klien dapat mengurangi risiko saat ini, mereka tidak mampu menyelesaikan kerentanan verifikasi identitas sumber secara fundamental. Selama tindakan modifikasi pusat perantara tidak memicu alarm keamanan di sisi klien, penyerang tetap dapat dengan mudah mengubah makna eksekusi program dan melakukan kerusakan.

Untuk benar-benar melindungi ekosistem agen AI, akhirnya harus bergantung pada penyedia model hulu yang mendukung mekanisme verifikasi kriptografi dalam responsnya. Hanya dengan mengikat hasil model dan instruksi akhir yang dieksekusi klien secara ketat melalui enkripsi, kita dapat memastikan integritas data end-to-end dan secara menyeluruh mencegah risiko rantai pasokan dari modifikasi data oleh pusat perantara.

Baca selengkapnya:
OpenAI menggunakan Mixpanel bermasalah! Mengakibatkan bocornya data pengguna, berhati-hati terhadap email phishing

Kesalahan copy-paste menyebabkan hilangnya 50 juta dolar! Penipuan alamat kripto dengan penyuntikan berbahaya muncul kembali, bagaimana cara mencegahnya