Ubah satu baris dokumen untuk menyusupkan kode ke asisten pemrograman AI: Wu Enda Context Hub diduga tanpa proses pemeriksaan di seluruh rangkaian.

Menurut pemantauan 1M AI News, layanan dokumentasi pemrograman AI Context Hub yang diluncurkan dua minggu lalu oleh pendiri DeepLearning.AI dan profesor paruh waktu di Universitas Stanford, Wu Enda, terungkap oleh peneliti keamanan berisiko serangan rantai pasokan. Context Hub menyediakan API dokumentasi melalui server MCP kepada agen pemrograman, kontributor mengirimkan dokumen melalui PR GitHub, dan setelah maintainer menggabungkan, agen membacanya sesuai kebutuhan. Pembuat layanan pengganti lap.sh, Mickey Shmueli, merilis bukti konsep serangan (PoC), menunjukkan bahwa seluruh jalur proses ini “tidak ada pemeriksaan konten di setiap tahapnya”.

Shmueli membuat dua dokumen palsu untuk Plaid Link dan Stripe Checkout, masing-masing menyisipkan nama paket PyPI palsu, dan menguji dengan tiga model tingkat Anthropic sebanyak 40 kali:

1. Haiku selalu menulis paket berbahaya ke requirements.txt, tanpa menampilkan peringatan apapun dalam output
2. Sonnet mengeluarkan peringatan dalam 48% (19/40) pengujian, tetapi tetap menulis dependensi berbahaya sebanyak 53% (21/40)
3. Opus menunjukkan performa terbaik, mengeluarkan peringatan sebanyak 75% (30/40), tanpa menulis dependensi berbahaya ke kode

Penyerang cukup mengirimkan satu PR dan menggabungkannya untuk menyebarkan konten berbahaya, tanpa banyak hambatan: dari 97 PR yang sudah ditutup, 58 di antaranya digabungkan. Shmueli menunjukkan bahwa ini secara esensial adalah varian dari injeksi petunjuk tidak langsung, di mana model AI tidak dapat secara andal membedakan antara data dan instruksi saat memproses konten, dan layanan dokumentasi komunitas lainnya juga kurang dalam pemeriksaan konten. Wu Enda belum menanggapi permintaan komentar.