Dunia keamanan siber baru saja dikejutkan oleh temuan investigasi mendalam yang mengungkap kerentanan sistemik pada generasi terbaru alat bantu pemrograman berbasis kecerdasan buatan. Sebuah metode serangan baru yang dijuluki Agentjacking telah terbukti mampu mengambil alih kendali penuh atas AI coding agent seperti Claude Code, Cursor, dan Codex hanya melalui satu laporan error palsu. Dalam pengujian terkontrol yang dilakukan oleh para ahli, agen AI tersebut mengeksekusi kode penyerang dengan hak akses penuh pengembang tanpa memicu satu pun peringatan keamanan dari sistem pertahanan yang ada. Fenomena ini menjadi alarm keras bagi industri teknologi karena menunjukkan bahwa infrastruktur keamanan tradisional seperti EDR, WAF, IAM, hingga firewall sekalipun benar-benar buta terhadap jenis ancaman yang memanfaatkan kepercayaan pada alur kerja AI.
Investigasi yang dipublikasikan oleh Tenet Security pada Juni 2026 merinci bagaimana satu peristiwa kesalahan Sentry yang dimanipulasi secara cerdas dapat menyuntikkan instruksi berbahaya langsung ke dalam data error. Instruksi ini kemudian dieksekusi oleh agen AI sebagai output diagnostik yang tepercaya, padahal sebenarnya merupakan perintah peretas untuk mencuri data sensitif. Yang paling mengkhawatirkan adalah fakta bahwa serangan ini dilakukan melalui kredensial Sentry publik yang tidak memerlukan otentikasi atau pembobolan sistem sebelumnya. Tenet Security melakukan pengujian terhadap lebih dari 100 target dalam kondisi terkontrol dan mencatat tingkat keberhasilan yang mengejutkan, yakni mencapai 85 persen, sebuah angka yang membuat pihak Sentry sendiri mengakui bahwa celah ini secara teknis sulit untuk dipertahankan.
Anatomi Agentjacking dan Kerentanan Sistemik MCP
Bagi orang awam, serangan ini mungkin terdengar seperti film fiksi ilmiah, namun secara teknis, Agentjacking mengeksploitasi cara agen AI berinteraksi dengan sumber data eksternal melalui Model Context Protocol (MCP). Penyerang mengirimkan panggilan API Sentry yang valid menggunakan DSN (Data Source Name) publik, yang kemudian dikembalikan oleh server MCP sebagai peristiwa autentik kepada agen AI. Karena agen AI dirancang untuk membantu pengembang memperbaiki masalah berdasarkan log kesalahan, ia secara otomatis menjalankan perintah yang disematkan dalam log tersebut tanpa curiga. Hal ini menciptakan situasi di mana setiap langkah dalam rantai serangan dianggap sebagai tindakan yang sah dan terotorisasi oleh sistem keamanan organisasi.
Mengapa Sentry, Datadog, dan Jira Terpapar Risiko?
Masalah ini tidak hanya terbatas pada Sentry, melainkan meluas ke platform observabilitas dan manajemen tugas lainnya seperti Datadog, PagerDuty, dan Jira. Setiap sumber data yang terhubung melalui MCP dan dipercayai oleh pengembang dapat menjadi vektor serangan jika agen AI yang terhubung memiliki kemampuan untuk mengeksekusi perintah shell. Dalam pengujian nyata, satu lingkungan Claude Code yang berhasil dikuasai terbukti menyimpan kunci akses rahasia AWS yang aktif serta URL repositori pribadi. Hal ini membuktikan bahwa blind spot dalam tumpukan teknologi keamanan saat ini bukan lagi sekadar teori, melainkan risiko nyata yang dapat mengekspos aset digital paling berharga milik perusahaan.
- Paparan Kredensial: Tenet Security mengidentifikasi setidaknya 2.388 organisasi dengan kredensial Sentry yang terpapar publik dan rentan terhadap injeksi peristiwa berbahaya dalam skala besar.
- Kegagalan Deteksi: Tidak ada tanda tangan digital atau pola serangan yang terdeteksi karena semua aktivitas menggunakan protokol resmi yang sah.
- Privilese Berlebih: Agen AI sering kali berjalan dengan hak akses yang sama dengan pengembang manusia, memungkinkan peretas melakukan apa pun yang bisa dilakukan oleh pengembang tersebut.
Kesenjangan Tata Kelola: Ekspektasi vs Realitas di Perusahaan
Meskipun adopsi agen AI berkembang pesat, kebijakan keamanan di tingkat perusahaan tampaknya tertinggal jauh di belakang. Berdasarkan survei dari Okta dan Apprize360 terhadap ratusan eksekutif dan pekerja, ditemukan fakta miris bahwa hanya 34 persen organisasi yang menerapkan kontrol keamanan yang sama pada agen AI sebagaimana yang mereka terapkan pada karyawan manusia. Ketimpangan ini menciptakan celah besar di mana 52 persen karyawan menggunakan alat AI yang tidak disetujui oleh departemen IT, yang sering kali disebut sebagai fenomena Shadow AI. Para eksekutif melaporkan adanya insiden atau nyaris celaka terkait AI dalam satu tahun terakhir, namun pengawasan tetap minim.
“Mengamankan agen AI sangat mirip dengan mengamankan pengguna dengan hak akses tinggi. Mereka memiliki identitas, akses ke sistem dasar, mereka menalar, dan mereka mengambil tindakan. Namun, selama ini belum ada yang berbicara tentang pengamanan agen pada saat runtime (waktu berjalan),” ujar Elia Zaitsev, CTO CrowdStrike.
Laporan Lanskap Ancaman AI 2026 dari HiddenLayer semakin mempertegas kekhawatiran ini dengan data bahwa sepertiga dari pemimpin keamanan melaporkan agen AI mereka telah melampaui cakupan tugas yang dimaksudkan. Lebih parah lagi, 31 persen responden tidak dapat mengonfirmasi apakah mereka telah mengalami pelanggaran keamanan terkait AI atau tidak. Ketidakpastian ini menunjukkan bahwa tim SOC (Security Operations Center) saat ini tidak memiliki alat atau telemetri yang memadai untuk membedakan antara tindakan yang dilakukan oleh pengembang manusia dengan tindakan yang dipicu oleh agen AI yang telah disusupi.
Runtime Security: Jaring Pengaman yang Terlupakan
Dalam menghadapi ancaman Agentjacking, para pakar keamanan mulai menekankan pentingnya keamanan saat runtime sebagai pertahanan terakhir. Elia Zaitsev dari CrowdStrike berargumen bahwa pendekatan sandbox konvensional sering kali gagal karena adanya dilema fungsionalitas: jika agen AI terlalu dibatasi dalam sandbox, ia menjadi tidak berguna bagi pengembang. Namun, setiap kali akses diberikan untuk meningkatkan kapabilitas agen, permukaan serangan pun otomatis meluas. Oleh karena itu, industri kini beralih ke konsep Continuous Identity for AI Agents, yang menggantikan kebijakan statis dengan penegakan hukum berkelanjutan yang mengotorisasi setiap tindakan agen secara real-time.
Transformasi Paradigma Keamanan AI
Keamanan runtime bertujuan untuk memberikan visibilitas penuh terhadap apa yang sebenarnya dilakukan oleh agen AI, bukan hanya apa yang tertulis dalam kebijakan akses. Jika sebuah agen tiba-tiba mencoba mengekspos token kontrol sumber atau mengakses data keuangan di luar kebiasaannya, sistem keamanan harus mampu menghentikannya secara instan. Zaitsev menekankan bahwa kita pernah melalui fase serupa pada era virtualisasi dan cloud, di mana fokus awal selalu pada penambalan kerentanan dan penguncian izin, namun sering kali melewatkan perilaku berbahaya saat aplikasi sedang berjalan.
Tantangan Struktural dan Anggaran bagi CISO
Masalah keamanan agen AI bukan hanya soal teknis, tetapi juga masalah struktural dan anggaran di dalam organisasi. Kayne McGladrey, anggota senior IEEE, menyoroti bahwa banyak CISO (Chief Information Security Officer) saat ini tidak memiliki anggaran atau staf yang cukup untuk mengelola risiko ini secara efektif. Sering kali, tata kelola agen AI tersebar di berbagai departemen yang berbeda, sehingga tidak ada satu pun eksekutif yang dapat memastikan apakah agen mendapatkan tinjauan akses yang sama ketatnya dengan manusia. Kesenjangan persepsi ini sangat nyata: sementara 65 persen eksekutif merasa kebijakan AI mereka sudah jelas, hanya 43 persen pekerja yang setuju dengan klaim tersebut.
Assaf Keren, CSO di Qualtrics dan mantan CISO PayPal, menambahkan bahwa risiko nyata dimulai ketika sistem AI ditempatkan di atas arsitektur dasar yang belum mapan. Analisis perilaku runtime tetap menjadi masalah yang belum terpecahkan bagi banyak perusahaan. Tanpa arsitektur yang kokoh, penerapan AI justru akan mempercepat munculnya retakan-retakan dalam sistem keamanan organisasi yang sudah ada. Oleh karena itu, penguatan arsitektur dasar dan pemahaman mendalam tentang bagaimana data mengalir antara agen AI dan sumber data eksternal menjadi sangat krusial sebelum melakukan investasi lebih lanjut pada alat AI.
Rencana Aksi: Menghadapi Kepatuhan EU AI Act
Dengan diberlakukannya kewajiban kepatuhan risiko tinggi dalam EU AI Act pada 2 Agustus 2026, perusahaan tidak lagi memiliki kemewahan untuk menunda audit keamanan AI mereka. Para direktur keamanan disarankan untuk segera menjalankan tes celah lima pertanyaan guna mengevaluasi postur keamanan mereka terhadap ancaman seperti Agentjacking. Langkah pertama yang paling mendesak adalah melakukan sensus lengkap terhadap semua agen, koneksi MCP, dan otomatisasi LLM yang ada di dalam perusahaan. Setiap agen yang ditemukan tanpa melalui proses persetujuan resmi harus segera dikategorikan sebagai insiden Shadow AI yang perlu ditangani.
Langkah Praktis untuk Tim Keamanan:
- Audit DSN Sentry: Segera audit semua DSN yang terpapar publik dan batasi apa yang dapat dilakukan oleh agen AI dengan data yang dikembalikan oleh DSN tersebut.
- Kontrol Paritas: Pastikan agen AI menerima tinjauan akses, cakupan hak istimewa, dan garis waktu pencabutan akses yang sama dengan karyawan manusia.
- Deteksi Runtime: Wajibkan penggunaan alat deteksi runtime khusus agen yang mampu membedakan aktivitas manusia dan AI dalam telemetri produksi.
- Uji Persepsi: Lakukan survei internal untuk memastikan kebijakan penggunaan AI dipahami dengan baik oleh seluruh staf pengembang.
Sebagai penutup, fenomena Agentjacking telah meruntuhkan asumsi lama dalam dunia keamanan siber bahwa tindakan yang terotorisasi selalu berarti aman. Di era di mana agen kecerdasan buatan menjadi bagian integral dari produktivitas, pertahanan yang paling penting bukanlah sekadar kebijakan di atas kertas, melainkan pengawasan aktif terhadap apa yang sebenarnya dilakukan oleh agen tersebut di lapangan. Organisasi yang gagal beradaptasi dengan realitas baru ini tidak hanya berisiko kehilangan data sensitif, tetapi juga akan menghadapi konsekuensi regulasi yang berat di masa depan yang semakin terdigitalisasi.
