Apa yang terjadi
Adversa AI secara publik mengungkapkan GuardFall pada 30 Juni 2026 — sebuah kelas struktural dari bypass shell-guard yang mempengaruhi 10 dari 11 agen pengkodean dan penggunaan komputer AI sumber terbuka yang populer. Akar penyebabnya adalah bahwa agen memvalidasi teks perintah mentah sementara bash kemudian menulis ulang melalui ekspansi dan substitusi, membuat blocklist berbasis regex tidak efektif. SecurityWeek dan The Hacker News keduanya meliput pengungkapan pada 30 Juni–1 Juli 2026. Eksploitasi end-to-end ditunjukkan terhadap Plandex. Tidak ada eksploitasi in-the-wild yang dilaporkan, tetapi belum ada CVE yang ditetapkan.
Mengapa penting
Agen pengkodean AI berjalan dengan otoritas akun penuh pengembang. Satu file repositori yang terkena racun — README, Makefile, respons MCP, atau metadata paket — dapat secara diam-diam mengekstraksi kunci SSH dan kredensial cloud dari setiap pengembang yang mengklonnya dan menjalankan agen yang rentan. Dengan 10 dari 11 alat utama yang terpengaruh dan jutaan pengembang mengadopsi agen pengkodean AI, jari-jari ledakan rantai pasokan sangat besar.
Vektor serangan
Agen memeriksa string perintah mentah terhadap blocklist keselamatan, kemudian mengeluarkan perintah ke bash. Bash menulis ulang string melalui penghapusan kutipan, ekspansi $IFS, substitusi perintah, dan pipeline yang dikodekan — trik shell berusia puluhan tahun yang tidak pernah diperhitungkan dalam pemeriksaan keselamatan agen. Adversa AI (pengungkapan GuardFall, 30 Juni 2026) menunjukkan eksploitasi end-to-end terhadap binary Plandex produksi: konten yang terkena racun dalam file repositori memicu agen untuk mengeluarkan perintah yang dikaburkan yang mengekstraksi kunci SSH, kredensial cloud, dan file $HOME.
Sistem yang terdampak
Hermes, opencode, Goose, Cline, Roo-Code, Aider, Plandex, Open Interpreter, OpenHands, SWE-agent (10 dari 11 disurvei); Continue adalah satu-satunya agen yang secara substansial dimitigasi
Mitigasi
Nonaktifkan fitur auto-execute di agen yang terpengaruh; isolasi atau alihkan $HOME; hindari menjalankan agen pada pull request yang di-fork; audit konfigurasi yang dikirim repositori; adopsi penerapan tokenize-and-canonicalize perintah (parsing struktural) daripada blocklist berbasis regex/string mentah. Pantau blog Adversa AI dan changelog agen individual untuk patch: https://adversa.ai/blog/opensource-ai-coding-agents-shell-injection-vulnerability