Definisi
Agen pengodean AI (seperti Claude Code atau Cursor) dikonfigurasi melalui file instruksi yang disimpan di direktori proyek, yang memberi tahu agen tentang cara berperilaku. Penyerang yang dapat menempatkan atau memodifikasi file tersebut — di repositori publik, dependensi yang dikompromikan, atau proyek bersama — dapat secara permanen mengalihkan perilaku agen AI untuk setiap pengembang yang mengklona proyek itu, mengalihkan panggilan API-nya atau mengekstrak rahasia.
Mengapa penting
Lebih dari 1.230 kunci API yang dikodekan keras ditemukan dalam file instruksi AI dalam satu penelusuran, dan temuan terpisah menunjukkan penyerang dapat menjarah URL dasar agen AI melalui file-file ini — mengubah alat pengembang yang terpercaya menjadi saluran eksfiltrasi data tanpa memerlukan malware.