Penjelasan teknis
Adversa AI mengungkapkan SymJack, kelas serangan agentic baru di mana repositori berbahaya berisi symlink penyamaran yang diubah nama untuk terlihat tidak berbahaya. Perintah cp digunakan untuk diam-diam menyisipkan payload ke dalam konfigurasi agent, mendaftarkan MCP server berbahaya. Prompt persetujuan pengembang hanya menampilkan permintaan penyalinan file yang terlihat tidak berbahaya — tanpa menyebutkan direktori konfigurasi atau konten yang dapat dieksekusi. Saat agent dimulai ulang berikutnya, server yang ditanam akan muncul dan menjalankan kode penyerang sebagai pengguna, tanpa sandbox. Serangan dikonfirmasi terhadap Claude Code, Cursor, Gemini CLI (Antigravity CLI), GitHub Copilot CLI, dan Grok Build CLI.
Vektor serangan
Penyerang mengendalikan repositori coding agent (atau repositori dependensi). File instruksi khusus berisi perintah cp yang menyelesaikan symlink penyamaran ke dalam direktori konfigurasi MCP agent. Pengembang menyetujui permintaan yang terlihat tidak berbahaya; agent memasang konfigurasi MCP server berbahaya tanpa prompt lebih lanjut. Pada pipeline CI, radius ledakan meluas ke semua secrets, tokens, dan kredensial OIDC yang dapat diakses oleh runner — memungkinkan serangan supply chain tanpa interaksi pengguna lebih lanjut.
Sistem yang terdampak
Kelima CLI major AI coding agent dikonfirmasi terpengaruh pada saat pengungkapan: Claude Code (Anthropic), Cursor Agent CLI, Gemini CLI / Antigravity CLI (Google), GitHub Copilot CLI, Grok Build CLI (xAI). Anthropic kemudian memperkuat Claude Code untuk menyelesaikan symlinks sebelum menampilkan prompt persetujuan. Cursor, Google, xAI, dan GitHub belum sepenuhnya melakukan remediasi pada saat liputan SecurityWeek.
Mitigasi
Untuk Claude Code: perbarui ke versi yang menyelesaikan symlinks sebelum approval prompts. Untuk semua agent lainnya: perlakukan setiap perintah cp atau file-move dalam instruksi yang dihasilkan agent sebagai berpotensi berbahaya dan periksa jalur tujuan sebenarnya sebelum menyetujui. Organisasi harus memerlukan signed tool manifests dan membatasi akses agent ke direktori konfigurasi. Pipeline CI harus berjalan di lingkungan terisolasi dengan akses secret minimal.