Attack  ·  Glosarium

AI coding agent supply chain attack

Serangan di mana penyerang menyuntikkan instruksi berbahaya atau kode ke dalam sumber daya yang akan dibaca oleh asisten pengkodean AI — seperti file README, paket perangkat lunak, atau respons server MCP — menyebabkan agen secara diam-diam menjalankan perintah berbahaya di mesin pengembang. Karena agen ini berjalan dengan hak istimewa akun penuh pengembang, satu file yang terkontaminasi dalam repositori yang dikloning dapat mencuri kredensial, memasang pintu belakang, atau mengekfiltrasi kode sumber tanpa pengguna mengklik apa pun. Penelitian (GuardFall, TrustFall) menunjukkan hal ini berhasil terhadap mayoritas agen pengkodean AI sumber terbuka yang populer.
Setiap pengembang yang menggunakan asisten pengkodean AI adalah titik masuk potensial ke dalam infrastruktur perusahaan: satu paket atau repositori yang dikompromikan dapat berkembang menjadi pencurian kredensial cloud, pencurian kode sumber, atau pergerakan lateral di seluruh sistem organisasi.
MITRE ATLAS — ML Supply Chain Compromise
Pantau di umpan langsung Lihat bagaimana hal ini terwujud dalam perkembangan keamanan dan tata kelola AI nyata.
Buka umpan →