NanoClaw dan JFrog meluncurkan ‘sistem kekebalan’ untuk memblokir agen AI mengunduh kode berbahaya
Pencipta varian OpenClaw open source yang ramah perusahaan, NanoClaw, bermitra dengan pemimpin manajemen rantai pasokan perangkat lunak JFrog untuk meluncurkan integrasi keamanan bersama baru yang menurut mereka akan melindungi agen otonom NanoClaw dari injeksi kode berbahaya. “Agen-agen ini melakukan hal-hal yang tidak dapat Anda kendalikan, dan Anda tidak dapat serta merta melatihnya,” kata Gal Marder, Chief Strategy Officer di JFrog, dalam sebuah wawancara eksklusif dengan VentureBeat. Segera tersedia, kemitraan ini menghubungkan agen NanoClaw langsung ke registrasi perangkat lunak JFrog yang telah diperiksa, memastikan bahwa asisten AI hanya dapat menarik dependensi yang dipindai dan aman. Rilis ini mengatasi kelemahan yang berkembang pesat dalam bidang teknologi: agen otonom sering kali menginstal paket di latar belakang untuk memperluas kemampuan mereka, seringkali tanpa sepengetahuan atau pengawasan operator manusia. “Orang-orang yang mengoperasikan agen belum tentu merupakan pengembang, dan mereka bahkan tidak menyadari implikasinya,” jelas Gavriel Cohen, pencipta NanoClaw dan CEO serta salah satu pendiri startup layanan komersial barunya, NanoCo AI. Untuk mengamankan ekosistem yang lebih luas, para mitra berupaya untuk membuatnya tersedia sepenuhnya gratis bagi komunitas sumber terbuka, sementara organisasi perusahaan dapat dengan mudah mengarahkan agen mereka melalui lingkungan JFrog yang sudah ada dan berlisensi komersial. Kemampuan teknis baru yang dimungkinkan oleh kemitraan ini mengikuti langkah NanoCo untuk menambahkan dialog izin di seluruh aplikasi yang tersedia melalui kemitraan dengan Vercel, dan kemitraan baru dengan Docker untuk memungkinkan agen NanoClaw berjalan lebih aman, terisolasi dari lingkungan perangkat lunak lain langsung di dalam wadah virtual Docker. Risiko agen AI otonom pribadi saat ini Ketika seorang operator berinteraksi dengan sistem otonom seperti NanoClaw milik NanoCo, mereka berkomunikasi pada tingkat abstraksi yang tinggi. Pengguna mungkin hanya mengirim file audio atau catatan suara, sehingga agen diminta untuk mencari cara untuk memprosesnya secara mandiri. Seperti yang dijelaskan Cohen, agen tersebut berpikir, “oh, saya tidak dapat memahami catatan suara, jadi izinkan saya pergi dan mengambil paket lalu mengunduh sesuatu dan menginstalnya serta mengaturnya dan menjalankannya”. Peningkatan diri yang dinamis ini membuat agen AI menjadi sangat kuat, namun juga membuat mereka sangat rentan terhadap serangan rantai pasokan perangkat lunak. Pelaku jahat semakin meracuni pendaftar sumber terbuka dengan paket jahat. Karena agen bertindak secara mandiri untuk mendapatkan apa yang mereka butuhkan, mereka mengabaikan pengawasan manusia. Para operator, yang bahkan mungkin bukan pengembang, sebagian besar tidak menyadari implikasi keamanan yang terjadi di balik layar. Bagaimana NanoCo dan JFrog bekerja untuk menghentikan agen menjalankan kode berbahaya Integrasi antara NanoCo dan JFrog bertindak sebagai sistem kekebalan otomatis untuk lingkungan AI ini. Di bawah tenda, agen NanoClaw sekarang dikonfigurasi untuk merutekan permintaan mereka untuk paket perangkat lunak, alat CLI, dan server Model Context Protocol (MCP) secara eksklusif melalui registri JFrog. Jika agen mencoba mengunduh perpustakaan yang disusupi—seperti perpustakaan yang rentan versi paket Axios yang populer—registrasi JFrog mencegat permintaan tersebut. Ini memblokir instalasi, mengembalikan kesalahan kebijakan keamanan ke agen, mencatat bahwa permintaan tersebut “ditolak oleh registri JFrog dengan kebijakan keamanan 403”. Yang terpenting, sistem ini tidak hanya berhenti memblokir ancaman; itu menciptakan lingkaran koreksi dinamis. Agen diberitahu tentang kerentanan dan dipandu untuk secara otomatis mencari dan menginstal versi paket yang diminta dan tidak berbahaya yang disetujui. Untuk organisasi besar, integrasi ini memecahkan masalah kepatuhan yang sangat besar. Marder mencatat bahwa ketika perusahaan mengadopsi agen otonom, mereka memerlukan visibilitas mutlak. Organisasi memerlukan “sistem pencatatan, kita perlu tempat untuk melacak agen apa yang dijalankan oleh siapa dan menggunakan paket apa serta menggunakan keterampilan apa dan menggunakan MCP apa,” katanya kepada VentureBeat. Di luar visibilitas, integrasi JFrog memberikan “lapisan kepercayaan” mendasar dan tata kelola yang ketat atas apa yang boleh diakses oleh sistem otomatis ini. Lisensi dan aksesibilitas Di bidang distribusi perangkat lunak, perizinan dan parameter akses menentukan adopsi. Kemitraan NanoCo dan JFrog menggunakan pendekatan jalur ganda untuk melayani pengembang sumber terbuka individu dan perusahaan yang memiliki regulasi ketat. Untuk komunitas sumber terbuka, integrasi ini sepenuhnya gratis. JFrog memberi pengguna NanoClaw sumber terbuka akses gratis ke sumber artefak, alat, dan keterampilan yang aman dan terverifikasi. Hal ini memungkinkan pengembang individu untuk menjalankan agen otonom secara lokal tanpa tenggelam dalam permintaan persetujuan manual untuk setiap ketergantungan. Selain itu, saat anggota komunitas membangun dan berbagi “keterampilan” baru untuk agen, kontribusi ini diunggah ke registri, dipindai untuk menemukan kode berbahaya, dan dibersihkan sebelum orang lain dapat menggunakannya. Infrastruktur ini secara langsung menetralisir ancaman penyimpanan komunitas yang teracuni. Untuk penerapan di perusahaan, arsitektur ini terhubung secara mulus ke dalam lingkungan komersial organisasi yang sudah ada. Daripada menggunakan registri sumber terbuka publik, pengguna korporat mengarahkan agen NanoClaw mereka ke registri JFrog internal mereka sendiri. Hal ini memastikan bahwa semua aktivitas agen mematuhi lisensi komersial spesifik perusahaan, kebijakan keamanan internal, kebutuhan visibilitas, dan standar tata kelola. Ketika AI terus mengaburkan batas antara niat manusia dan eksekusi mesin, infrastruktur yang mengamankan eksekusi tersebut harus berkembang. Kemitraan ini mengakui sebuah realitas inti: Anda tidak dapat melatih AI untuk secara sempurna mengenali setiap kerentanan zero-day; sebaliknya, Anda harus membangun lingkungan di mana agen tidak dapat menjangkau kerentanannya.
Diterbitkan : 2026-06-12 16:46:00
sumber : venturebeat.com
