Masih membeli stasiun perantara AI di Taobao? Pembocor kode asli Claude Code: setidaknya puluhan telah diracuni

Kebocoran kode sumber Claude Code, whistleblower terbaru mengungkapkan bahwa pusat perantara AI yang dijual di pasar menyimpan risiko keamanan siber tersembunyi. Pengujian menunjukkan bahwa beberapa pusat perantara mencuri kredensial, kunci dompet, atau menyuntikkan kode berbahaya, menjadi titik serangan rantai pasokan.

Whistleblower kebocoran kode sumber Claude Code, mengungkap risiko keamanan pusat perantara AI

Baru-baru ini diterbitkan sebuah makalah penelitian berjudul 《Your Agent Is Mine》, salah satu penulisnya adalah whistleblower yang pertama kali mengungkap kejadian kebocoran kode sumber Claude Code, Chaofan Shou.

Makalah ini secara sistematis meneliti ancaman keamanan terhadap router API pihak ketiga dari model bahasa besar (LLM), yang biasa disebut pusat perantara, dan mengungkap bahwa pusat perantara semacam ini bisa menjadi titik serangan rantai pasokan.

Apa itu pusat perantara AI?

Karena pemanggilan LLM menghabiskan banyak Token, menghasilkan biaya komputasi tinggi, pusat perantara AI dapat menggunakan cache untuk mengulang pertanyaan dan penjelasan latar belakang, membantu pelanggan menghemat biaya secara signifikan.

Selain itu, pusat perantara memiliki fungsi distribusi otomatis model, mampu secara dinamis beralih antara model dengan standar biaya dan performa berbeda sesuai tingkat kesulitan pertanyaan pengguna, dan dapat secara otomatis beralih ke model cadangan saat server model utama mati, memastikan kestabilan layanan secara keseluruhan.

Pusat perantara sangat populer di China karena negara tersebut tidak dapat langsung menggunakan produk AI luar negeri tertentu, dan perusahaan memiliki kebutuhan lokal untuk penagihan, sehingga pusat perantara menjadi jembatan penting antara model hulu dan pengembang hilir. Termasuk platform seperti OpenRouter dan SiliconFlow, semuanya termasuk dalam kategori layanan ini.

Namun, pusat perantara yang tampaknya menurunkan biaya dan hambatan teknis, sebenarnya menyimpan risiko keamanan yang sangat besar.

Sumber gambar: Makalah penelitian mengungkap risiko serangan rantai pasokan pusat perantara AI

Pusat perantara AI memiliki akses penuh, menjadi celah serangan rantai pasokan

Makalah menyebutkan bahwa pusat perantara beroperasi di lapisan aplikasi dari arsitektur jaringan, dan memiliki hak akses lengkap untuk membaca data payload JSON selama transmisi.

Karena tidak ada verifikasi integritas enkripsi end-to-end antara klien dan penyedia model hulu, pusat perantara dapat dengan mudah memeriksa dan mengubah API key, prompt sistem, serta parameter panggilan alat dari output model.

Tim peneliti menunjukkan bahwa sejak Maret 2026, router open-source terkenal LiteLLM pernah diserang dengan serangan kebingungan dependensi, yang memungkinkan penyerang menyuntikkan kode berbahaya ke dalam pipeline permintaan, menyoroti kerentanan bagian ini.

• **Laporan terkait:**Ringkasan serangan penyuntikan LiteLLM: Bagaimana memeriksa dompet terenkripsi dan kunci cloud yang bermasalah?

Pengujian puluhan pusat perantara AI menunjukkan perilaku berbahaya

Tim peneliti membeli 28 pusat perantara berbayar di platform seperti Taobao, Xianyu, dan Shopify, serta mengumpulkan 400 pusat perantara gratis dari komunitas terbuka untuk pengujian mendalam, hasilnya menunjukkan bahwa 1 pusat perantara berbayar dan 8 pusat perantara gratis secara aktif menyuntikkan kode berbahaya.

Dalam sampel pusat perantara gratis, 17 di antaranya mencoba menggunakan kredensial AWS yang disusun oleh peneliti, bahkan 1 pusat perantara secara langsung mencuri cryptocurrency dari dompet Ethereum peneliti.

Data penelitian lebih lanjut menunjukkan bahwa selama pusat perantara menggunakan kredensial hulu yang bocor berulang kali, atau mengarahkan lalu lintas ke node dengan perlindungan keamanan yang lemah, bahkan pusat perantara yang tampaknya normal pun bisa terlibat dalam serangan yang sama.

Dalam pengujian infeksi, tim menemukan bahwa node yang terpengaruh ini memproses lebih dari 2,1 miliar Token, dan dalam 440 sesi mengungkapkan 99 kredensial nyata, di mana 401 sesi berada dalam mode operasi otomatis penuh, memungkinkan penyerang menyuntikkan beban berbahaya secara langsung dan mudah, tanpa perlu kondisi trigger yang rumit.

Sumber gambar: Makalah penelitian mengungkap bahwa pengujian terhadap lebih dari 400 pusat perantara menunjukkan puluhan pusat perantara AI menunjukkan perilaku berbahaya

Empat metode serangan utama terungkap

Makalah mengklasifikasikan perilaku serangan pusat perantara berbahaya ke dalam dua kategori utama dan dua varian penghindaran adaptif.

• Serangan penyuntikan beban: Setelah model hulu mengembalikan hasil, pusat perantara diam-diam mengubah parameter panggilan alat, misalnya mengganti URL yang sah dengan server yang dikendalikan penyerang, menyebabkan klien menjalankan kode berbahaya.
• Serangan kebocoran data rahasia: Pusat perantara secara pasif memindai lalu lintas transmisi, mencuri API key, kredensial AWS, dan kunci pribadi Ethereum serta data sensitif lainnya.

Untuk menghindari deteksi keamanan konvensional, penyerang mengembangkan teknik injeksi dependensi yang menargetkan, mengubah nama paket dalam perintah instalasi perangkat lunak, mengganti paket yang sah dengan paket berbahaya yang sama atau mirip yang sudah dipublikasikan di registri umum, membangun backdoor rantai pasokan permanen di sistem target.

Metode lain adalah pengiriman kondisi tertentu, di mana perilaku berbahaya hanya aktif jika kondisi tertentu terpenuhi, misalnya jika jumlah permintaan melebihi 50 kali, atau saat mendeteksi sistem beroperasi secara otomatis penuh (mode YOLO), sehingga menghindari deteksi keamanan terbatas.

Tiga langkah perlindungan yang dapat dilakukan

Menghadapi serangan rantai pasokan penyuntikan ke pusat perantara AI, makalah mengusulkan tiga langkah perlindungan yang memungkinkan:

• Implementasi kebijakan pengendalian untuk alat berisiko tinggi: Memeriksa dan memblokir domain atau perintah instalasi paket yang tidak sah, mekanisme ini dapat menahan sebagian besar serangan penyuntikan beban dengan tingkat kesalahan 1%.
• Sistem penyaringan abnormal di sisi respons: Mampu menandai 89% sampel beban berbahaya dengan tingkat kesalahan 6,7%, membantu pengembang melakukan peninjauan manual secara efektif.
• Pencatatan log transparansi tambahan: Meskipun tidak dapat mencegah serangan, mekanisme ini menyimpan hash permintaan dan respons, memungkinkan pelacakan dan penilaian kerusakan saat terjadi insiden keamanan.

Seruan kepada penyedia model hulu untuk membangun mekanisme verifikasi kriptografi

Meskipun mekanisme pertahanan di sisi klien dapat mengurangi risiko sebagian saat ini, mereka tidak mampu menyelesaikan kerentanan verifikasi identitas sumber secara fundamental. Selama tindakan modifikasi pusat perantara tidak memicu alarm keamanan di sisi klien, penyerang tetap dapat dengan mudah mengubah makna eksekusi program dan melakukan kerusakan.

Untuk benar-benar melindungi ekosistem agen AI, harus bergantung pada penyedia model hulu yang menyediakan mekanisme respons berbasis kriptografi. Hanya dengan mengikat hasil model dan perintah eksekusi akhir klien secara enkripsi yang ketat, kita dapat memastikan integritas data end-to-end dan secara menyeluruh mencegah risiko rantai pasokan dari modifikasi data oleh pusat perantara.

Baca selengkapnya:
OpenAI menggunakan Mixpanel bermasalah! Mengakibatkan bocornya data pengguna, berhati-hati terhadap email phishing

Kesalahan copy-paste menyebabkan hilangnya 50 juta dolar! Penipuan alamat kripto dengan penyuntikan berulang, bagaimana cara mencegahnya