Asisten coding bertenaga AI milik Amazon menghadapi pelanggaran keamanan serius ketika seorang hacker berhasil menyuntikkan kode berbahaya melalui pull request yang masuk ke dalam produksi. Versi yang disusupi tersebut mengandung prompt destruktif yang dirancang untuk menghapus direktori lokal dan sumber daya cloud, menimbulkan pertanyaan signifikan tentang proses code review untuk tools pengembangan AI.
Informasi Repository:
- Repo Utama: aws/aws-toolkit-vscode di GitHub
- Branch Berbahaya: "stability" (telah dihapus)
- File yang Dikompromikan: scripts/extensionNode.bk
- Basis Instalasi: Hampir 1 juta instalasi ekstensi VS Code
Bagaimana Serangan Ini Berlangsung
Analisis komunitas telah mengungkap detail teknis dari serangan canggih ini. Hacker tersebut mengirimkan pull request yang tampak tidak berbahaya dengan commit message yang tidak terkait dengan perubahan kode yang sebenarnya. Commit berbahaya tersebut mengunduh kode tambahan saat runtime dari stability branch yang telah dibuat penyerang di dalam repositori yang sama.
Kode yang diunduh mengandung prompt yang menginstruksikan Amazon Q untuk mengeksekusi shell command yang akan menghapus direktori lokal, termasuk direktori home pengguna, sambil menggunakan perintah AWS CLI untuk menghancurkan sumber daya cloud seperti S3 bucket, EC2 instance, dan IAM role. Serangan ini dirancang untuk mencatat semua penghapusan ke dalam file bernama /tmp/CLEANER.LOG, menciptakan rekam digital dari kerusakan tersebut.
Yang membuat hal ini sangat mengkhawatirkan adalah bahwa penyerang tampaknya telah memperoleh akses push langsung ke repositori Amazon, melewati proses review pull request normal sepenuhnya. Ini menunjukkan bahwa kompromi tersebut lebih dalam dari sekadar berhasil menggabungkan PR berbahaya.
Detail Teknis:
- Target: Ekstensi Amazon Q Developer VS Code
- Vektor Serangan: Pull request berbahaya dengan unduhan kode runtime
- Payload: Prompt bahasa natural untuk destruksi sistem
- Kerusakan Lokal: Menghapus direktori pengguna, melewati file tersembunyi
- Kerusakan Cloud: Perintah AWS CLI untuk menghapus bucket S3 , menghentikan instance EC2 , menghapus resource IAM
- Logging: Aktivitas dicatat ke
/tmp/CLEANER.LOG
Faktor Amplifikasi AI
Penggunaan AI sebagai vektor serangan menambahkan dimensi yang meresahkan pada insiden ini. Alih-alih menulis perintah destruktif spesifik yang mungkin memicu peringatan keamanan, penyerang menggunakan prompt bahasa natural untuk menginstruksikan AI melakukan tindakan yang sama. Pendekatan ini berfungsi sebagai force multiplier, memungkinkan instruksi generik diterjemahkan menjadi perintah terperinci yang spesifik untuk sistem.
Anda tidak perlu menulis perintah spesifik, Anda hanya perlu memberikan prompt hal-hal generik dan AI akan dengan senang hati mengisi semua detailnya. Ini juga memungkinkan Anda menghindari kata kunci tertentu dalam PR (misalnya
rm -rf) dan kemungkinan menghindari deteksi.
Teknik ini bisa menjadi semakin umum seiring dengan tools coding AI yang memperoleh lebih banyak kemampuan dan izin dalam lingkungan pengembangan.
Respons Amazon dan Masalah Transparansi
Penanganan insiden oleh Amazon telah mendapat kritik karena kurangnya transparansi. Perusahaan tersebut secara diam-diam menghapus versi 1.84.0 dari ekstensi Amazon Q Developer dari Visual Studio Code Marketplace tanpa mengeluarkan advisory keamanan, catatan changelog, atau identifier CVE.
Pernyataan resmi perusahaan mengklaim bahwa tidak ada sumber daya pelanggan yang terdampak, namun pernyataan ini sulit untuk diverifikasi. Karena kode berbahaya dirancang untuk beroperasi secara diam-diam dan mencatat aktivitas secara lokal daripada melaporkan kembali ke sistem Amazon, tidak ada cara yang dapat diandalkan untuk mengonfirmasi apakah ada pengguna yang benar-benar menjalankan versi yang disusupi selama sekitar dua hari ketersediaannya.
Insiden ini baru terungkap melalui laporan investigatif oleh 404 Media, bukan melalui proses disclosure Amazon sendiri. Pendekatan menangani insiden keamanan dengan menghapus bukti daripada komunikasi transparan telah menimbulkan kekhawatiran tentang bagaimana masalah serupa mungkin dikelola di masa depan.
Timeline Serangan:
- 13 Juli 2025: Commit berbahaya dipush langsung ke branch master
- ~2 hari: Versi yang terkompromi tersedia di VS Code Marketplace
- Versi 1.84.0: Rilis yang terdampak diam-diam dihapus dari marketplace
- Tidak ada CVE yang dikeluarkan, tidak ada advisory keamanan yang dipublikasikan
Implikasi yang Lebih Luas untuk Tools Pengembangan AI
Insiden ini menyoroti tantangan keamanan unik yang ditimbulkan oleh tools pengembangan bertenaga AI. Aplikasi-aplikasi ini sering memerlukan izin ekstensif untuk berfungsi secara efektif, termasuk kemampuan untuk mengeksekusi shell command dan berinteraksi dengan layanan cloud. Ketika disusupi, mereka dapat menyebabkan kerusakan yang jauh lebih signifikan daripada tools pengembangan tradisional.
Serangan ini juga mendemonstrasikan bagaimana tools AI menjadi target menarik bagi hacker justru karena kemampuan luas mereka dan kepercayaan yang diberikan developer kepada mereka. Seiring dengan tools ini menjadi lebih umum dalam workflow pengembangan perangkat lunak, standar keamanan dan proses review di sekitar mereka perlu berkembang sesuai.
Respons komunitas beragam, dengan beberapa pihak menyerukan transparansi yang lebih baik dari Amazon sementara yang lain mempertanyakan apakah insiden ini merepresentasikan cacat fundamental dalam keamanan tool AI atau hanya kegagalan praktik manajemen repositori dasar yang bisa mempengaruhi tool pengembangan apa pun dengan izin serupa.
Referensi: Amazon Q: Now with Helpful AI-Powered Self-Destruct Capabilities
 |
|---|
| Gambar mencolok dari bola kriket yang hancur berkeping-keping melambangkan dampak kerentanan keamanan dalam alat pengembangan bertenaga AI |