Penjelasan teknis
Peneliti keamanan senior Forcepoint Mayur Sewani menerbitkan penelitian pada 22 April 2026 mengidentifikasi 10 payload indirect prompt injection (IPI) yang menargetkan AI agents dengan instruksi berbahaya dirancang untuk mencapai penipuan finansial, perusakan data, pencurian API key, dan kompromi sistem. Satu payload berusaha memaksa coding assistants bertenaga LLM atau agentic AI dengan akses shell untuk menjalankan perintah Unix untuk penghapusan paksa rekursif file dan direktori. Peneliti menekankan bahwa permukaan serangan tertinggi untuk asisten AI yang terintegrasi ke dalam IDE, lingkungan terminal, dan developer tools.
Vektor serangan
Serangan indirect prompt injection menyematkan instruksi berbahaya dalam konten eksternal (dokumen, halaman web, repositori kode) yang dicerna oleh AI agents. Ketika agent memproses konten, prompt yang disuntikkan menggantikan instruksi pengguna yang sah, menyebabkan agent menjalankan tindakan yang tidak sah. Payload yang diungkapkan menargetkan alur kerja agentic dengan kemampuan tool-use, khususnya yang memiliki akses shell atau izin file-system.
Sistem yang terdampak
AI coding assistants, developer tools, agentic AI dengan akses shell, integrasi terminal bertenaga LLM, dan setiap AI agent yang mampu membaca dokumen eksternal atau konten web dan menjalankan perintah sistem.
Mitigasi
Terapkan validasi input ketat untuk semua konten eksternal sebelum penyerapan agent. Batasi akses tool dan data ke minimum yang diperlukan per peran agent. Terapkan persetujuan human-in-the-loop untuk tindakan berisiko tinggi (penghapusan file, perintah sistem, akses API key). Terapkan pemantauan untuk perilaku agent anomali, khususnya eskalasi privilege atau invokasi tool yang tidak terduga. Pisahkan lingkungan eksekusi agent dari sistem produksi.