Apa yang terjadi
Peneliti dari Virginia Tech, AI Security Company London, dan University of Texas menerbitkan 'GitInject' (arXiv 2606.09935, diajukan 7 Juni 2026) — sebuah framework open-source yang menyediakan repositori GitHub aktif dan memicu penjalankan alur kerja CI/CD sebenarnya untuk mengevaluasi prompt injection. Menguji Claude Code Action, Codex Action, dan Gemini CLI Action di empat penyedia AI, mereka mendokumentasikan 11 serangan bernama termasuk config-file injection, credential exfiltration, judgment manipulation, dan availability attacks; setiap penyedia rentan terhadap setidaknya satu kelas serangan dalam konfigurasi defaultnya.
Mengapa penting
Penelitian menunjukkan bahwa agen AI CI/CD beroperasi dengan 'lethal trifecta' (akses ke data pribadi, penyerapan konten tidak terpercaya, komunikasi eksternal) dan bahwa config-file injection — di mana penyerang menambahkan CLAUDE.md atau AGENTS.md ke cabang PR — adalah vektor paling berbahaya karena agen memmuatnya sebagai instruksi tingkat operator yang otoritatif sebelum konten PR. Ini adalah studi real-environment (bukan simulasi) pertama yang sistematis tentang keamanan AI CI/CD, menetapkan tindakan penyeimbang biaya minimum dan menyediakan alat yang dapat digunakan kembali untuk pembela.
Tindakan yang diperlukan
Tim keamanan harus menjalankan GitInject terhadap alur kerja CI/CD bertenaga AI mereka sendiri segera; setidaknya, batasi cabang mana yang dapat memuat file CLAUDE.md/AGENTS.md dan terapkan izin GITHUB_TOKEN read-only untuk acara PR dari kontributor fork.