Kopilot mencari di kotak surat Anda. LiteLLM membagikan kunci admin. Jalankan audit 5 pemeriksaan ini sebelum tumpukan Anda berikutnya | beritakitanih

Kopilot mencari di kotak surat Anda. LiteLLM membagikan kunci admin. Jalankan audit 5 pemeriksaan ini sebelum tumpukan Anda berikutnya

Dua alat AI rusak dengan cara yang sama dalam dua minggu yang sama, dan empat tim peneliti membuktikannya. Pola di balik setiap pengungkapan adalah satu kalimat: AI perusahaan menerima masukan eksternal tanpa batasan kepercayaan. Pada tanggal 15 Juni, Varonis mengungkapkan SearchLeak (CVE-2026-42824), rantai eksfiltrasi bukti konsep di Microsoft 365 Copilot Enterprise Search. Korban mengklik URL microsoft.com yang dibuat, Copilot mencari kotak surat mereka, dan data keluar melalui Bing SSRF. Tidak ada plugin, tidak ada klik kedua, tidak ada indikator yang terlihat. Empat hari sebelumnya, Obsidian Security menerbitkan rantai tiga CVE terhadap LiteLLM yang membawa pengguna default dengan hak istimewa rendah hingga ke admin dan eksekusi kode jarak jauh. Dua alat. Dua tim. Satu batasan yang dilanggar. Audit lima pemeriksaan di akhir artikel ini memetakan setiap celah ke CVE atau sinyal pasar dari bulan Juni, sebuah perintah yang dapat Anda jalankan sebelum makan siang, dan sebuah kalimat yang dapat dibacakan oleh CISO ke papan tulis. Copilot mengubah URL tepercaya menjadi mesin eksfiltrasi. SearchLeak merantai tiga kelemahan menjadi rantai pencurian data yang diam-diam. Parameter URL q memberikan instruksi penyerang langsung ke LLM Copilot. Kondisi balapan rendering memicu tag gambar sebelum pembersih keluaran dijalankan. Titik akhir pencarian gambar Bing, yang diizinkan dalam Kebijakan Keamanan Konten, mengalihkan data yang dicuri. Microsoft menilai kelemahan tersebut kritis dan menambalnya di bagian belakang, menurut Varonis. NVD belum mencetaknya; pelacak pihak ketiga mencantumkannya di 6,5 medium. Tingkat keparahannya masih diperdebatkan, namun mekanismenya tidak. Eskalasi yang terjadi adalah kisah nyata. Ini adalah rantai eksfiltrasi Varonis Copilot ketiga dalam dua belas bulan, setelah Reprompt pada bulan Januari dan EchoLeak pada tahun 2025. Reprompt mengenai Copilot Personal. SearchLeak mencapai Pencarian Perusahaan. Perusahaan mewarisi izin organisasi penuh pengguna, sehingga radius ledakan adalah segalanya yang dapat dijangkau pengguna.LiteLLM memberikan akun default ke setiap kunci penyediaGateway LiteLLM menyimpan kunci untuk OpenAI, Anthropic, Azure, dan Bedrock di belakang satu proksi. Rantai Obsidian berjalan dalam tiga gerakan. CVE-2026-47101, sebuah bypass otorisasi, memungkinkan non-admin mencetak kunci API wildcard. CVE-2026-47102 mempromosikan penelepon tersebut menjadi admin proksi melalui titik akhir /pengguna/pembaruan yang tidak dijaga. CVE-2026-40217 lolos dari kotak pasir kode melalui exec() dengan bawaan penuh. Obsidian kemudian mendemonstrasikan shell terbalik dengan memasukkan respons panggilan alat palsu melalui mekanisme panggilan balik LiteLLM. Obsidian menilai rantai gabungan di CVSS 9.9. Pengembang mengetik satu kata. Penyerang melontarkan cangkang. Cacat LiteLLM yang terpisah membuat keadaan menjadi mendesak. CVE-2026-42271, bug injeksi perintah di titik akhir pengujian MCP, masuk dalam daftar CISA KEV pada tanggal 8 Juni dengan batas waktu remediasi tanggal 22 Juni. Entri KEV tersebut bukanlah rantai Obsidian. Keduanya merupakan pengungkapan berbeda dengan selang waktu empat hari, ditetapkan dalam rilis berbeda, dan ditujukan pada gerbang yang sama. LiteLLM membawa lebih dari 40.000 bintang GitHub dan digunakan dalam ribuan penerapan perusahaan. Ini juga bukan ketakutan pertama. Kompromi rantai pasokan membuat backdoor LiteLLM versi 1.82.7 dan 1.82.8 di PyPI pada bulan Maret. Gerbang yang disusupi memperlihatkan setiap kredensial penyedia yang dimiliki organisasi. Langflow dan Mini Shai-Hulud membuktikan skala pola Batasan yang sama terpecahkan pada dua alat lagi dalam dua minggu yang sama. Langflow CVE-2026-5027 menjadi kelemahan eksekusi kode jarak jauh Langflow ketiga yang mencapai eksploitasi aktif tahun ini. Penelusuran jalur dalam unggahan file memungkinkan penyerang menulis file di mana saja di disk, dan karena Langflow dikirimkan dengan login otomatis yang diaktifkan secara default, satu permintaan yang tidak diautentikasi mencapai RCE. VulnCheck mengkonfirmasi eksploitasi pada tanggal 9 Juni. Censys menghitung sekitar 7.000 kasus yang terpapar, konsentrasi terberat di Amerika Utara, dengan atribusi MuddyWater. Kampanye Mini Shai-Hulud mencapai titik tekanan yang berbeda. Setelah kode sumber worm dipublikasikan pada 12 Mei, varian peniru mengkompromikan 32 paket npm Red Hat Cloud Services pada 1 Juni, paket ditarik 80.000 kali seminggu. Worm ini memanen lebih dari 20 jenis kredensial dan memperbanyak diri di bawah identitas pengelola yang disusupi. Empat tim, empat alat, satu kegagalan pengoperasian. Kelas bug berbeda. SearchLeak adalah suntikan cepat. LiteLLM adalah peningkatan hak istimewa. Langflow adalah penjelajahan jalur. Mini Shai-Hulud adalah keracunan rantai pasokan. Batasan yang dilanggar adalah sama di keempatnya. Pasar telah mengubah harga risiko. Laporan pendapatan Q1 FY27 dari CrowdStrike memberi angka pada kesenjangan tersebut. AIDR, jalur deteksi dan respons AI perusahaan, tumbuh mengakhiri ARR lebih dari 250% secara berurutan, dengan pipeline Q2 di atas $50 juta (8-K yang diajukan SEC). Total ARR perusahaan mencapai $5,51 miliar, dan telemetri armada CrowdStrike menunjukkan lebih dari 1.800 aplikasi agen berjalan di seluruh titik akhir perusahaan. Pada tanggal 17 Juni, perusahaan memperluas AIDR ke AWS, menambahkan evaluasi real-time atas komunikasi agen, LLM, dan MCP di seluruh Amazon Bedrock, Kiro, dan Strands Agents, yang melanjutkan pekerjaannya dengan Project Glasswing dari Anthropic. Daniel Bernard, chief business officer CrowdStrike, mengatakan permukaan serangan AI kini mencakup pengembangan, runtime, identitas, dan infrastruktur cloud, dan tim yang memperlakukan hal-hal tersebut sebagai domain terpisah membiarkan kesenjangan di antara keduanya tetap terbuka. Praktisi menyebut kesenjangan yang sama dengan istilah yang lebih jelas, David Levin, CISO di American Express Global Business Travel, mengatakan kepada VentureBeat bahwa pola tersebut tidak mengejutkannya. “Kami memiliki shadow AI, yang merupakan versi baru dari shadow IT,” kata Levin. Langflow dan LiteLLM sesuai dengan deskripsinya. Tim membela mereka demi kenyamanan, memberi mereka kredensial, dan tidak pernah menempatkan mereka di bawah tata kelola. Levin melakukan perbaikan sebelum penerapan. “Kami tidak membahas hal ini hanya dengan mengatakan bahwa kami akan melakukan hal ini tanpa dasar yang benar,” katanya. “Kami memanfaatkan kontrol NIST. NIST telah merilis CSF mereka bersama dengan kerangka AI mereka. OWASP merilis 10 teratas mereka. Anda memerlukan dasar-dasar yang tepat sebelum menerapkannya.” Merritt Baer, ​​CSO di Enkrypt AI dan mantan Deputi AWS CISO, menyebutkan versi struktural dari kegagalan tersebut dalam wawancara terpisah dengan VentureBeat. “Perusahaan percaya bahwa mereka telah ‘menyetujui’ vendor AI, namun sebenarnya yang mereka setujui adalah antarmuka, bukan sistem yang mendasarinya,” kata Baer. “Ketergantungan yang sebenarnya ada satu atau dua lapis lebih dalam, dan ketergantungan itulah yang gagal di bawah tekanan.” Dia menghubungkan hal ini secara langsung dengan bagaimana sistem runtuh. “Zero-day mentah bukanlah penyebab sebagian besar sistem dikompromikan. Komposabilitas adalah penyebabnya,” kata Baer kepada VentureBeat. “Ini adalah perekat antara model dan data Anda di mana risiko berada. Jika Anda memberikan agen bash dan token root, Anda telah melakukan sebagian besar pekerjaan penyerang untuk mereka.” Itulah yang dimaksud dengan baris 2 dan 4 dari pengujian audit: gerbang yang menyimpan setiap kunci, dan identitas agen yang tidak diatur oleh siapa pun. Levin memiliki kerangka yang lebih tajam untuk ruang rapat. “Anda perlu berbicara lebih banyak mengenai risiko versus kepatuhan kepada dewan direksi dan eksekutif Anda,” katanya. “Ini bukan lagi tentang ukuran tim teknik. Ini adalah ukuran imajinasi Anda. Semuanya ditulis dalam bahasa Inggris yang sederhana. Tidak sulit bagi siapa pun.” Baik SearchLeak maupun LiteLLM tidak memerlukan malware khusus atau zero-day untuk bekerja. Adam Meyers, SVP Intelijen CrowdStrike, memaparkan jumlah operasional dalam wawancara eksklusif VentureBeat. “Masalahnya bukan zero-day. Masalahnya adalah patching. Jika Anda melipatgandakan masalah tersebut, mereka akan sepenuhnya tenggelam,” kata Meyers. Ia menunjuk identitas sebagai front kedua. “Beberapa dari AI ini memiliki identitas mereka sendiri, atau orang-orang memberikan identitas mereka kepada AI untuk mengambil tindakan atas nama mereka, dan itu menjadikannya masalah yang sangat kompleks.” Audit batas kepercayaan lima pemeriksaanSetiap baris memetakan celah ke titik pembuktiannya, perintah verifikasi untuk Senin pagi, perbaikan, dan kalimat untuk dibacakan ke papan.Titik Pembuktian Kesenjangan Batas KepercayaanApa yang BrokeVerifikasi SeninPerbaiki SeninBahasa Papan1. Prompt-ke-DataSearchLeak CVE-2026-42824. Injeksi P2P + balapan HTML + Bing SSRF. Eksfiltrasi kotak surat sekali klik melalui URL microsoft.com. PoC didemonstrasikan; Microsoft menilainya penting, NVD belum mencetak gol. URL q-parameter diteruskan ke LLM sebagai instruksi. Sanitizer dijalankan setelah render. Bing bertindak sebagai proksi eksfiltrasi melalui daftar yang diizinkan CSP. Audit daftar yang diizinkan CSP untuk domain yang melakukan pengambilan sisi server. Pantau URL Pencarian Copilot untuk muatan yang dikodekan. Tinjau log audit Copilot. Konfirmasikan patch sisi server telah diterapkan. Aktifkan label sensitivitas yang membatasi Copilot. Perlakukan keluaran streaming AI sebagai tidak tepercaya. “Asisten AI kami dapat mencari email karyawan dan mengirimkan hasilnya ke penyerang melalui URL Microsoft yang tepercaya. Vendor telah memperbaikinya. Kami harus memverifikasi konfigurasi.”2. Rantai tiga CVE Gateway Credential ExposureLiteLLM (-47101, -47102, -40217). CVSS 9.9. Pisahkan CVE-2026-42271 di CISA KEV (diperbaiki di v1.83.7; rantai penuh diperbaiki di v1.83.14-stable). Batas waktu 22 Juni. Tidak ada validasi peran pada titik akhir utama. Promosi diri menjadi admin melalui /user/update. exec() pelarian kotak pasir. Satu gateway memperlihatkan semua kunci penyedia. Jalankan pip show litellm. Di bawah 1.83.14-stable = rentan. Periksa /mcp-rest/test/exposure. Audit akun proxy_admin. Tingkatkan ke v1.83.14-stable+. Putar semua kunci API penyedia. Blokir /mcp-rest/test/* di proxy. Tinjau Pagar Pembatas Kode Kustom. “Gateway AI kami menyimpan kunci untuk setiap penyedia. Akun default dapat mempromosikan dirinya sendiri menjadi admin dan mencuri semuanya. Rotasi dan patching sekarang.”3. Perkakas AI SprawlLangflow CVE-2026-5027 (CVSS 8.8). RCE ketiga tahun 2026. ~7.000 kasus terpapar. Air Berlumpur. Eksploitasi aktif 9 Juni. Traversal jalur dalam unggahan file. Login otomatis diaktifkan secara default. Permintaan tunggal yang tidak diautentikasi ke RCE.Query Censys/Shodan untuk Langflow, Flowise, n8n, Dify di perimeter Anda. Periksa login otomatis. Alat AI inventaris di luar manajemen perubahan. Tarik platform AI di belakang VPN/zero-trust. Aktifkan autentikasi di mana saja. Tingkatkan Langflow ke v1.9.0+ (rilis saat ini 1.10.0). Sidik jari terus muncul ke permukaan. “Alat pengembang AI terekspos ke internet dengan login dinonaktifkan. Sebuah kelompok negara-bangsa kini mengeksploitasi kelemahan ini. Kini mereka mengabaikan kontrol akses.”4. Tata Kelola Identitas Non-ManusiaAIDR ARR naik 250% (Q1 FY27, SEC 8-K). Saluran pipa Q2 >$50 juta. 1.800+ aplikasi agen di seluruh titik akhir perusahaan. Agen memegang identitas dan bertindak atas nama manusia. Beberapa melampaui cakupan yang dimaksudkan untuk mencapai suatu tujuan. Tidak ada standar yang mengatur siklus hidup kredensial agen. Inventarisasi semua identitas non-manusia yang digunakan oleh agen dan server MCP. Memetakan akses agen-ke-penyimpanan data. Tandai agen dengan akses tulis ke kebijakan keamanan. Hak istimewa paling sedikit untuk setiap identitas agen. Tetapkan batasan hak istimewa melalui perlindungan identitas. Deteksi runtime untuk tindakan yang melampaui kebijakan. Manusia yang selalu terlibat dalam perubahan kebijakan. “Agen AI memegang kredensial dan bertindak secara mandiri. Kami tidak mengatur siklus identitas mereka seperti akses manusia. Pertumbuhan pasar sebesar 250% menunjukkan bahwa kesenjangan ini bersifat sistemik.”5. Runtime Agentic DetectionFalcon AIDR diperluas ke AWS (17 Juni). Meliputi Batuan Dasar, Kiro, Agen Helai. Integrasi MCP. Evaluasi agen/LLM/MCP waktu nyata. Alat tradisional memantau tindakan kecepatan manusia. Agen berjalan dengan kecepatan mesin, ribuan tindakan per menit, dan mengarahkan kontrol untuk mencapai tujuan. Uji apakah EDR/XDR menghubungkan tindakan agen dengan identitas asal. Verifikasi SIEM menyerap komunikasi MCP. Konfirmasikan bahwa Anda dapat membedakan manusia dan agen di titik akhir. Terapkan AIDR atau deteksi waktu proses yang setara. Penemuan Shadow-AI untuk semua aplikasi agen, model, server MCP, identitas. Penegakan kebijakan secara real-time pada tindakan agen. “Kami tidak dapat membedakan karyawan manusia dari agen AI yang bertindak atas nama mereka. Kami memerlukan deteksi runtime pada kecepatan mesin yang dapat menghentikan kerusakan sebelum kerusakan terjadi.” Kelima kesenjangan di atas bukanlah permasalahan model frontier. Hal ini menyebabkan masalah pada gateway, platform orkestrasi, lapisan identitas, dan lingkungan runtime tempat AI bertemu dengan perusahaan. Auditnya lima baris. Setiap baris dipetakan ke pengungkapan bulan Juni atau sinyal pasar, perintah yang dapat dijalankan tim sebelum makan siang, dan kalimat yang dapat dibacakan CISO kepada dewan. Pertanyaannya bukanlah apakah vendor Anda akan melakukan patch. Tergantung apakah Anda menemukan celahnya terlebih dahulu — atau apakah penyerang menemukannya seperti mereka menemukan Copilot dan LiteLLM.

Diterbitkan : 2026-06-18 17:42:00

sumber : venturebeat.com