Dalam 50 hari terakhir, OpenAI, Anthropic, dan Meta mengalami empat insiden yang disebabkan oleh masalah dalam rantai pasokan. Tiga di antaranya adalah serangan yang dipicu oleh pihak lawan, sementara satu lagi adalah kesalahan paket yang dilakukan sendiri. Tidak ada yang menargetkan model langsung, tetapi keempat insiden tersebut mengungkapkan satu celah yang sama: saluran rilis, ketergantungan, pelari CI, dan langkah pengemasan yang tidak pernah dimasukkan dalam skop evaluasi atau latihan red team.
Pada 11 Mei 2026, sebuah worm bernama Mini Shai-Hulud menerbitkan 84 versi paket berbahaya dalam enam menit di 42 paket @tanstack/* npm. Worm ini menyusup melalui file release.yml dengan mengeksploitasi kesalahan konfigurasi pull_request_target, pencemaran cache GitHub Actions, serta ekstraksi token OIDC dari memori pelari untuk mengalihkan saluran rilis TanStack. Paket-paket tersebut memiliki legitimasi yang tepat, dengan validitas SLSA Build Level 3 karena diterbitkan dari repositori yang benar, oleh alur kerja yang sah, menggunakan token OIDC yang valid. Tidak ada kata sandi pemelihara yang dicuri, dan tidak ada prompt 2FA yang terintersepsi.
Model kepercayaan bekerja sesuai desain, namun tetap menghasilkan 84 artefak berbahaya.
Dua hari setelahnya, OpenAI mengonfirmasi bahwa dua perangkat karyawan mereka telah dikompromikan dan informasi kredensial diekstraksi dari repo kode internal. OpenAI sekarang mencabut sertifikat keamanan macOS mereka dan memaksa semua pengguna desktop untuk memperbarui sebelum 12 Juni 2026. Mereka mencatat bahwa mereka telah memperkuat saluran CI/CD mereka setelah insiden rantai pasokan sebelumnya, tetapi dua perangkat yang terpengaruh belum mendapatkan konfigurasi terbaru. Ini adalah respons yang sesuai dengan pelanggaran dalam saluran pembuatan, bukan insiden keselamatan model.
Empat insiden, satu temuan
Red team model tidak mencakup saluran rilis. Keempat insiden yang terjadi adalah bukti adanya temuan arsitektur tunggal yang perlu dicantumkan dalam setiap kuesioner vendor AI.
OpenAI Codex injection command (diungkapkan pada 30 Maret 2026). Peneliti Tyler Jespersen dari BeyondTrust Phantom Labs menemukan bahwa OpenAI Codex langsung mengirim nama cabang GitHub ke perintah shell tanpa sanitasi. Seorang penyerang dapat menyisipkan titik koma dan subshell backtick ke dalam nama cabang, dan wadah Codex akan mengeksekusinya, mengembalikan token OAuth GitHub korban dalam teks biasa. Kerentanan ini mempengaruhi website ChatGPT, Codex CLI, Codex SDK, dan IDE Extension. OpenAI mengklasifikasinya sebagai Prioritas Krusial 1 dan telah memperbaikinya pada Februari 2026 dengan menggunakan karakter Unicode untuk membuat nama cabang berbahaya sama dengan “main” di UI Codex. Itulah titik awal serangan tersebut.
Pencemaran rantai pasokan LiteLLM dan pelanggaran Mercor (24-27 Maret 2026). Kelompok ancaman TeamPCP menggunakan kredensial yang dicuri dalam kompromi sebelumnya dari pemindai kerentanan Trivy milik Aqua Security untuk menerbitkan dua versi LiteLLM Python yang beracun di PyPI. LiteLLM adalah jembatan proxy LLM sumber terbuka yang banyak digunakan di tim infrastruktur AI besar. Versi berbahaya tersebut aktif selama kurang lebih 40 menit dan diunduh hampir 47.000 kali sebelum diangkat oleh PyPI.
Itu sudah cukup.
Serangan ini menular ke Mercor, startup data AI senilai $10 miliar yang menyuplai data pelatihan untuk Meta, OpenAI, dan Anthropic. Empat terabyte diekstraksi, termasuk referensi metodologi pelatihan dari Meta. Meta kemudian membekukan kemitraan tersebut tanpa batas waktu. Dalam lima hari, pengaduan kelas aksi diajukan. Satu ketergantungan sumber terbuka yang terkompromi selama 40 menit di PyPI menciptakan radius ledakan lintas industri yang tidak bisa ditangkap oleh red team dari satu vendor pun.
Bocornya peta sumber kode Anthropic Claude (31 Maret 2026). Insiden ini tidak dipicu oleh pihak lawan. Anthropic mengirim versi Claude Code 2.1.88 ke registri npm dengan file peta sumber 59,8 MB yang seharusnya tidak disertakan. File peta ini menunjuk ke arsip zip di bucket Cloudflare R2 milik Anthropic yang berisi 513.000 garis TypeScript yang tidak terobfuscate, termasuk logika orkestrasi agen, 44 fitur, dan sistem promt. Semua publik, semuanya dapat diunduh tanpa memerlukan autentikasi. Peneliti keamanan Chaofan Shou menandai kebocoran ini dalam hitungan jam dan Anthropic segera menarik paket tersebut. Mereka mengonfirmasi bahwa ini adalah “masalah pengemasan rilis yang disebabkan oleh kesalahan manusia.” Ini adalah kebocoran kedua dalam 13 bulan. Penyebab utamanya adalah baris yang hilang dalam .npmignore. Tidak ada penyerang yang terlibat, tetapi celah dari sisi rilis tetap sama. Tidak ada gate review manusia yang ada antara artefak build dan langkah publikasi registri.
Infeksi worm TanStack dan propogasi ke bawah (11-14 Mei 2026). Wiz Research mengatribusikan serangan Mini Shai-Hulud kepada TeamPCP dengan keyakinan tinggi. StepSecurity mendeteksi kompromi dalam 20 menit. Worm ini menyebar dari TanStack ke Mistral AI, UiPath, dan lebih dari 160 paket dalam hitungan jam. Mini Shai-Hulud sampai meniru identitas GitHub App Anthropic Claude dengan membuat komit di bawah identitas yang dipalsukan “claude
Empat insiden, tiga lab perbatasan, satu temuan. Batas skop red team berhenti di batas model, dan saluran build berada di sisi lain.
Waktu yang tidak bisa dijelaskan oleh kartu sistem mana pun
Pada 10 Mei 2026, OpenAI meluncurkan Daybreak, sebuah inisiatif keamanan siber yang dibangun di atas GPT-5.5 dan model baru bernama GPT-5.5-Cyber yang dirancang untuk tim red yang berwenang, pengujian penetrasi, dan penemuan kerentanan. Daybreak menggandeng Codex Security dengan mitra, termasuk Cisco, CrowdStrike, Akamai, Cloudflare, dan Zscaler. OpenAI memposisikan peluncuran ini sebagai bukti bahwa AI perbatasan dapat mengubah keseimbangan menuju para pembela.
Namun keesokan harinya, worm TanStack sudah mengkompromikan dua perangkat karyawan OpenAI.
Pengungkapan insiden oleh OpenAI langsung mengakui celah tersebut. Perusahaan sudah memperkuat saluran CI/CD mereka setelah serangan rantai pasokan sebelumnya, tetapi dua perangkat yang terpengaruh “tidak memiliki konfigurasi terbaru yang diperlukan untuk mencegah unduhan.” Kontrol sudah ada, implementasi sedang berjalan, tetapi worm tersebut datang lebih dulu.
Komunitas keamanan mencatat celah yang sama: Peneliti keamanan @EnTr0pY_88 mencatat di X bahwa sinyal yang sebenarnya adalah rotasi sertifikat, bukan kode yang diekstraksi. “Rotasi sertifikat…adalah apa yang Anda lakukan saat radius ledakan mencapai kepercayaan penandatangan, bukan hanya akses sumber.” Sementara itu, @OpenMatter_ mengungkapkan kegagalan SLSA provenance dalam satu kalimat: “Jika seorang penyerang mengontrol pelari CI Anda, mereka mengontrol penegasan Anda. Keamanan berbasis kebijakan gagal pada skala besar.” Dan @The_Calda merangkum pertentangan dalam pengungkapan ini dalam tujuh kata: “‘Dampak terbatas’ tetapi kalimat berikutnya adalah ‘kami merotasi sertifikat penandatangan.'”
Perusahaan yang meluncurkan platform pertahanan siber pada hari Minggu dan mengungkapkan pelanggaran saluran pembuatan pada hari Selasa tidak gagal dalam hal keselamatan model. OpenAI menunjukkan celah persis yang ingin ditutup oleh grid audit ini. Red team model dan tim red saluran rilis adalah dua disiplin berbeda; empat insiden dalam 50 hari menunjukkan hanya satu dari mereka yang didanai secara konsisten.
Matriks Preskriptif VentureBeat
Matriks di bawah ini memetakan tujuh kelas permukaan rilis yang hilang dari kuesioner vendor AI, mencakup dampak vendor, mekanisme kegagalan, celah deteksi, mitigasi teknis, dan tingkatan prioritas yang dapat dilaksanakan oleh tim keamanan sebelum penutupan pembaruan Q2.
Bagi tim yang perlu memetakan baris ini ke dalam alat GRC yang ada, baris 2, 3, dan 5 selaras dengan NIST SSDF PS.1.1 (melindungi semua bentuk kode dari akses dan perubahan yang tidak sah). Baris 4 berhubungan dengan SSDF PS.2.1 (memberikan mekanisme untuk memverifikasi integritas rilis perangkat lunak). Baris 6 sebagian terkait dengan persyaratan SLSA Source Track untuk identitas kontributor terverifikasi, meski tidak ada kerangka yang diterbitkan secara langsung menangani sumber kredensial pemelihara ketergantungan upstream. Baris 7 belum ditangani oleh kerangka yang diterbitkan, yang itu sendiri adalah temuan.
|
Kelas permukaan rilis |
Dampak vendor |
Mekanisme kegagalan |
Celah deteksi |
Mitigasi teknis |
Prioritas |
|
Evaluasi kemampuan model (jailbreak, penyalahgunaan, eksfiltrasi) |
Ketiga (sedang berjalan) |
Tercover. Kartu sistem, AISI Expert suite, Gray Swan membahas ini saat ini. |
Tidak ada. Baris ini adalah dasar. |
Terus memerlukan kartu sistem pada setiap pembaruan. |
Dasar |
|
Batas kepercayaan pelari CI (pull_request_target) |
TanStack; OpenAI secara downstream (11-14 Mei 2026) |
TanStack menjalankan percabangan kode di konteks repositori dasar. Cache pnpm tercemar. Token OIDC diekstrak dari memori pelari. Dua perangkat karyawan OpenAI terkompromikan. |
Tidak ada kartu sistem yang mencakup isolasi pelari CI. Tidak ada evaluasi AISI yang menguji batas kepercayaan fork-ke-basic. |
Audit setiap repo untuk pull_request_target + checkout SHA fork. Blokir kode fork dari konteks repositori dasar. Kunci cache dipasang untuk commit SHA. |
Lakukan minggu ini |
|
Penerbit tepercaya OIDC + SLSA provenance |
TanStack; OpenAI secara downstream (11 Mei 2026) |
TanStack membuat valid SLSA Build Level 3 provenance untuk semua 84 paket berbahaya. Worm npm pertama yang diketahui dengan penegasan kriptografis yang valid. |
Penegasan SLSA mengonfirmasi asal build, bukan maksud build. Tidak ada kuesioner vendor yang membedakan keduanya. |
Pasang penerbit tepercaya ke cabang + alur kerja, bukan hanya repositori. Tambahkan analisis perilaku pada saat instalasi. |
Lakukan minggu ini |
|
Ulasan pengemasan rilis (gate manusia sebelum publikasi) |
Anthropic (31 Maret 2026) |
.npmignore yang hilang mengirimkan peta sumber 59,8 MB dalam paket npm Claude Code. 513K garis terekspos termasuk logika agen dan 44 fitur. Kebocoran kedua dalam 13 bulan. Terjadi karena kesalahan manusia, bukan serangan pihak lawan. |
Tidak ada latihan red team yang memeriksa konten artefak sebelum publikasi registri. |
Review manusia antara artefak build dan publikasi registri. Tegakkan .npmignore dalam CI. Gagal membangun pada ukuran artefak yang tidak terduga. |
Sebelum pembaruan |
|
Hook siklus hidup ketergantungan (prepare, postinstall) |
TanStack; OpenAI + secara downstream (11 Mei 2026) |
router_init.js dieksekusi saat import. tanstack_runner.js menyebar melalui hook optionalDependencies prepare. Menyebar ke Mistral AI, UiPath, dan lebih dari 160 paket dalam hitungan jam. |
Hook siklus hidup dieksekusi sebelum pemindai apapun berjalan. Evaluasi model tidak pernah menguji perilaku instalasi paket. |
Nonaktifkan skrip siklus hidup di CI secara default. Daftar izin eksplisit untuk produksi. Tandai optionalDependencies baru dalam tinjauan PR. Atur minimumReleaseAge. |
Lakukan minggu ini |
|
Kebersihan kredensial pemelihara vendor |
Meta melalui Mercor (24-27 Maret 2026) |
TeamPCP mencuri kredensial pemelihara LiteLLM melalui kompromi Trivy sebelumnya. Dua versi PyPI beracun aktif selama 40 menit. Cache Mercor menyimpan referensi metodologi pelatihan Meta. 4 TB diekstraksi. Meta membekukan kemitraan. |
Kuesioner vendor menanyakan tentang enkripsi dan kontrol akses, bukan tentang provenance kredensial pemelihara untuk ketergantungan upstream. |
Memerlukan otentikasi kunci perangkat keras dari setiap pemelihara sebelum onboarding. Tambahkan cooldown pengelola paket. Audit pohon ketergantungan transitif setiap kuartal. |
Tambahkan ke kontrak vendor |
|
Sanitasi input kontainer agen |
OpenAI Codex (diungkapkan 30 Maret 2026) |
Tim red BeyondTrust Phantom Labs menyisipkan perintah shell melalui parameter nama cabang GitHub. Mencuri token OAuth dari wadah Codex. Skalabel di repositori bersama. Dinilai sebagai P1 Kritikal, diperbaiki Februari 2026. |
Tim red agent menguji injeksi prompt, bukan injeksi parameter input di tingkat wadah. |
Sanitasi semua input eksternal sebelum eksekusi shell. Audit cakupan token OAuth dan masa berlaku per sesi agen. Tegakkan prinsip hak akses minimal pada setiap wadah. |
Lakukan minggu ini |
Rencana tindakan direktur keamanan
Matriks ini memberi tahu tim Anda tentang apa yang perlu diperbaiki. Tiga tindakan ini memberitahu direktur keamanan bagaimana melanjutkannya.
-
Tambahkan satu pertanyaan di setiap kuesioner vendor AI. “Apakah organisasi Anda melakukan red team terhadap saluran rilisnya, termasuk batas kepercayaan pelari CI, pembatasan token OIDC, hook siklus hidup ketergantungan, dan gate publikasi registri? Sebutkan tanggal dan lingkup penilaian terakhir.” Tanpa tanggal dan dokumen lingkup adalah temuan.
-
Jalankan baris 2 sampai 7 terhadap saluran CI Anda minggu ini. StepSecurity dan Snyk telah menerbitkan langkah-langkah deteksi dan remedi yang terkait dengan pola worm TanStack. Tim pengembang menarik SDK OpenAI, paket Anthropic, dan bobot Llama melalui npm, PyPI, dan HuggingFace setiap minggu. Pola yang sama yang dieksploitasi ada di CI Anda sekarang.
-
Brief papan direksi tentang celah provenance. Worm TanStack membuktikan bahwa validitas provenance kriptografis dapat berada di atas sebuah paket berbahaya. Penegasan memberi tahu dewan di mana paket dibangun. Analisis perilaku memberi tahu dewan apa yang dilakukannya setelah diinstal. Pembaruan Q2 memerlukan keduanya. Analisis Snyk merekomendasikan penguncian konfigurasi penerbit tepercaya pada cabang dan alur kerja tertentu, bukan hanya repositori. Itulah bahasa yang dibutuhkan dalam presentasi dewan.
Worm sudah tahu di mana kredensial AI Anda berada
Mini Shai-Hulud tidak berhenti di rahasia CI. Datadog Security Labs mendokumentasikan bahwa payload-nya membaca ~/.claude.json dan mengekstrak isinya. Selain itu, worm ini memindai vault 1Password dan Bitwarden, akun layanan Kubernetes, token penyedia cloud, dan file riwayat shell tempat pengembang menempelkan kunci API. Deobfuscation oleh StepSecurity mengonfirmasi bahwa Mini Shai-Hulud mengumpulkan konfigurasi server Claude dan Kiro MCP, yang menyimpan kunci API dan token autentikasi untuk layanan eksternal. Bagi pengembang yang menggunakan agen pengkodean berbasis AI, worm sudah tahu di mana kredensial mereka berada.
OpenAI, Anthropic, dan Meta akan terus menerbitkan kartu sistem. Mereka juga akan terus mendanai kompetisi red team. Mereka akan terus lolos dari evaluasi model. Namun, semua itu tidak akan menghentikan worm berikutnya untuk menyusup lewat release.yml.
Tim pasca mortem TanStack langsung menjelaskan. Pertahanan rantai pasokan modern penting, tetapi tidak cukup hanya itu. Tim harus secara proaktif mengidentifikasi dan menutup celah dalam alur kerja, alih-alih hanya mengandalkan fitur keamanan dari alat mereka.
