Penjelasan teknis
Peneliti keamanan senior Forcepoint Mayur Sewani mempublikasikan penelitian pada 22 April 2026 yang mengidentifikasi 10 muatan indirect prompt injection (IPI) yang menargetkan AI agents dengan instruksi berbahaya yang dirancang untuk mencapai penipuan finansial, penghancuran data, pencurian kunci API, dan kompromi sistem. Satu muatan mencoba memaksa coding assistants bertenaga LLM atau agentic AI dengan akses shell untuk mengeksekusi perintah Unix untuk penghapusan rekursif paksa file dan direktori. Para peneliti menekankan bahwa permukaan serangan tertinggi ada untuk AI assistants yang terintegrasi ke IDE, lingkungan terminal, dan developer tools.
Vektor serangan
Serangan indirect prompt injection menyematkan instruksi berbahaya dalam konten eksternal (dokumen, halaman web, repositori kode) yang dikonsumsi oleh AI agents. Ketika agent memproses konten, prompt yang disuntikkan menimpa instruksi pengguna yang sah, menyebabkan agent mengeksekusi tindakan yang tidak sah. Muatan yang diungkap menargetkan alur kerja agentic dengan kemampuan penggunaan alat, khususnya yang memiliki akses shell atau izin sistem file.
Sistem yang terdampak
AI coding assistants, developer tools, agentic AI dengan akses shell, integrasi terminal bertenaga LLM, dan setiap AI agent yang mampu membaca dokumen eksternal atau konten web dan mengeksekusi perintah sistem.
Mitigasi
Implementasikan validasi input ketat untuk semua konten eksternal sebelum penyerapan agent. Batasi akses alat dan data ke minimum yang diperlukan per peran agent. Terapkan persetujuan human-in-the-loop untuk tindakan berisiko tinggi (penghapusan file, perintah sistem, akses kunci API). Terapkan pemantauan untuk perilaku agent yang anomali, khususnya eskalasi privilege atau pemanggilan alat yang tidak terduga. Pisahkan lingkungan eksekusi agent dari sistem produksi.