Penjelasan teknis
Adversa AI mengungkapkan SymJack, kelas serangan agentic baru di mana repositori berbahaya berisi symlink penyamaran yang dinamai ulang agar terlihat tidak berbahaya. Perintah cp digunakan untuk secara diam-diam menyisipkan payload ke dalam konfigurasi agen, mendaftarkan server MCP berbahaya. Prompt persetujuan pengembang hanya menampilkan permintaan penyalinan file yang tampak tidak bersalah — tanpa penyebutan direktori konfigurasi atau konten yang dapat dieksekusi. Saat restart agen berikutnya, server yang ditanam muncul dan menjalankan kode penyerang sebagai pengguna, tanpa sandbox. Serangan tersebut dikonfirmasi terhadap Claude Code, Cursor, Gemini CLI (Antigravity CLI), GitHub Copilot CLI, dan Grok Build CLI.
Vektor serangan
Penyerang mengendalikan repositori agen pengkodean (atau repositori dependensi). File instruksi yang dirancang khusus berisi perintah cp yang menyelesaikan symlink penyamaran ke dalam direktori konfigurasi MCP agen. Pengembang menyetujui permintaan yang tampak tidak berbahaya; agen memasang konfigurasi server MCP berbahaya tanpa prompt lebih lanjut. Pada pipeline CI, jangkauan ledakan meluas ke semua rahasia, token, dan kredensial OIDC yang dapat diakses oleh runner — memungkinkan serangan rantai pasokan tanpa interaksi pengguna lebih lanjut.
Sistem yang terdampak
Semua lima CLI agen pengkodean AI utama dikonfirmasi terpengaruh pada saat pengungkapan: Claude Code (Anthropic), Cursor Agent CLI, Gemini CLI / Antigravity CLI (Google), GitHub Copilot CLI, Grok Build CLI (xAI). Anthropic kemudian memperkuat Claude Code untuk menyelesaikan symlink sebelum menampilkan prompt persetujuan. Cursor, Google, xAI, dan GitHub belum sepenuhnya melakukan remediasi pada saat liputan SecurityWeek.
Mitigasi
Untuk Claude Code: perbarui ke versi yang menyelesaikan symlink sebelum prompt persetujuan. Untuk semua agen lainnya: perlakukan setiap perintah cp atau file-move dalam instruksi yang dihasilkan agen sebagai berpotensi berbahaya dan periksa jalur tujuan sebenarnya sebelum menyetujui. Organisasi harus memerlukan manifes alat yang ditandatangani dan membatasi akses agen ke direktori konfigurasi. Pipeline CI harus berjalan di lingkungan terisolasi dengan akses rahasia minimal.