Definisi
Serangan di mana penyerang menyuntikkan instruksi berbahaya atau kode ke dalam sumber daya yang akan dibaca oleh asisten pengkodean AI — seperti file README, paket perangkat lunak, atau respons server MCP — menyebabkan agen secara diam-diam menjalankan perintah berbahaya di mesin pengembang. Karena agen ini berjalan dengan hak istimewa akun penuh pengembang, satu file yang terkontaminasi dalam repositori yang dikloning dapat mencuri kredensial, memasang pintu belakang, atau mengekfiltrasi kode sumber tanpa pengguna mengklik apa pun. Penelitian (GuardFall, TrustFall) menunjukkan hal ini berhasil terhadap mayoritas agen pengkodean AI sumber terbuka yang populer.
Mengapa penting
Setiap pengembang yang menggunakan asisten pengkodean AI adalah titik masuk potensial ke dalam infrastruktur perusahaan: satu paket atau repositori yang dikompromikan dapat berkembang menjadi pencurian kredensial cloud, pencurian kode sumber, atau pergerakan lateral di seluruh sistem organisasi.