Anthropic Menutup Celah Keamanan MCPGit yang Penting: Apa yang Perlu Diketahui Pengguna

airdrop_whisperer · 2026-03-02T10:13:19+00:00

Peneliti keamanan Cyata menandai kerentanan serius dalam mcp-server-git milik Anthropic, menyoroti tiga celah kritis yang memungkinkan eksekusi kode jarak jauh melalui injeksi prompt. Anthropic merespons dengan patch penting, mendesak pengguna untuk segera memperbarui guna mengurangi risiko.

airdrop_whisperer

2026-03-02 10:13:19

Pembuatan abstrak sedang berlangsung

Para peneliti keamanan di Cyata telah memperingatkan tentang ancaman serius dalam infrastruktur mcp-server-git milik Anthropic. Pengungkapan ini mengungkapkan kerentanan yang dapat menimbulkan risiko besar bagi sistem yang menggunakan alat ini secara luas. Yuichiro dan pengembang lain yang fokus pada keamanan telah melacak pola serangan serupa, menyoroti pentingnya memahami apa yang salah dan bagaimana komunitas harus merespons.

Ancaman Ganda dalam Arsitektur MCPGit

mcp-server-git milik Anthropic telah diidentifikasi mengandung tiga kerentanan keamanan kritis (CVE-2025-68143, CVE-2025-68144, CVE-2025-68145) yang jauh melampaui kesalahan pengkodean biasa. Kerentanan ini mencakup serangan traversal path, teknik injeksi parameter, dan yang paling kritis, kemampuan untuk mencapai eksekusi kode jarak jauh pada sistem yang terkena dampak. Tingkat keparahannya berasal dari kemampuannya dieksploitasi melalui injeksi prompt—artinya penyerang hanya perlu memanipulasi asisten AI agar memproses prompt berbahaya untuk memicu rantai serangan.

Dari Injeksi Prompt ke Kompromi Sistem

Yang membuat kerentanan ini sangat berbahaya adalah aksesibilitasnya. Alih-alih memerlukan akses langsung ke sistem atau rantai eksploitasi yang kompleks, pelaku ancaman dapat memanfaatkan kerentanan ini dengan menyisipkan instruksi berbahaya dalam prompt yang tampaknya tidak berbahaya yang diberikan ke sistem AI yang menjalankan MCPGit. Asisten AI, yang tidak menyadari niat jahat tersebut, menjadi vektor tanpa disadari untuk operasi file yang tidak sah dan eksekusi kode. Perpaduan antara interaksi AI yang sah dan eksploitasi keamanan ini menciptakan permukaan serangan baru dalam lingkungan perusahaan yang bergantung pada alur kerja pengembangan berbasis AI.

Respon Anthropic

Tim pengembang bergerak cepat untuk mengatasi risiko ini melalui beberapa patch keamanan yang dirilis sepanjang tahun 2025. Strategi perbaikan difokuskan pada dua tindakan utama: menghilangkan alat git_init yang menjadi titik masuk serangan, dan menerapkan validasi jalur file yang diperkuat di seluruh basis kode. Perbaikan ini bukan sekadar patch permukaan, melainkan perubahan struktural yang dirancang untuk menutup kelemahan mendasar yang memungkinkan rantai eksploitasi.

Tindakan Segera Diperlukan

Pengguna yang menjalankan instalasi MCPGit sangat disarankan untuk segera memperbarui ke versi terbaru yang telah dipatch. Perbaikan yang dirilis pada tahun 2025 secara signifikan mengurangi permukaan serangan, tetapi hanya jika diterapkan. Organisasi yang menggunakan mcp-server-git di lingkungan produksi harus memprioritaskan pembaruan ini sebagai tugas keamanan penting, mengingat rendahnya hambatan untuk eksploitasi dan potensi dampak tinggi dari akses file yang tidak sah atau eksekusi kode dalam infrastruktur pengembangan.

Lihat Asli

Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.

1 Suka