Tim Merah NVIDIA Merilis Kerangka Keamanan Agen AI di Tengah Meningkatnya Ancaman Sandbox

Luisa Crawford
30 Jan 2026 16:35

Tim AI Red Team NVIDIA menerbitkan kontrol keamanan wajib untuk agen coding AI, mengatasi serangan injeksi prompt dan kerentanan pelarian sandbox.

Tim AI Red Team NVIDIA merilis kerangka keamanan komprehensif pada 30 Januari yang menargetkan titik buta yang berkembang dalam alur kerja pengembang: agen coding AI yang berjalan dengan izin pengguna penuh. Panduan ini hadir saat pasar sandbox keamanan jaringan membengkak menuju $368 miliar dan kerentanan terbaru seperti CVE-2025-4609 mengingatkan semua orang bahwa pelarian sandbox tetap menjadi ancaman nyata.

Masalah intinya? Asisten coding AI seperti Cursor, Claude, dan GitHub Copilot mengeksekusi perintah dengan akses apa pun yang dimiliki pengembang. Penyerang yang meracuni repositori, menyelipkan instruksi berbahaya ke dalam file .cursorrules, atau mengkompromikan respons server MCP dapat membajak tindakan agen sepenuhnya.

Tiga Kontrol yang Tidak Dapat Ditawar

Kerangka kerja NVIDIA mengidentifikasi tiga kontrol yang dianggap wajib oleh Red Team—bukan saran, tetapi persyaratan:

Penguncian egress jaringan. Blokir semua koneksi keluar kecuali ke tujuan yang disetujui secara eksplisit. Ini mencegah eksfiltrasi data dan reverse shell. Tim merekomendasikan penegakan proxy HTTP, resolver DNS yang ditunjuk, dan daftar tolak tingkat perusahaan yang tidak dapat ditimpa oleh pengembang individual.

Penulisan file khusus workspace. Agen tidak boleh menyentuh apa pun di luar direktori proyek aktif. Menulis ke ~/.zshrc atau ~/.gitconfig membuka pintu untuk mekanisme persistensi dan pelarian sandbox. NVIDIA menginginkan penegakan tingkat OS di sini, bukan janji lapisan aplikasi.

Perlindungan file konfigurasi. Yang satu ini menarik—bahkan file di dalam workspace memerlukan perlindungan jika itu adalah file konfigurasi agen. Hook, definisi server MCP, dan skrip skill sering dieksekusi di luar konteks sandbox. Panduannya tegas: tidak ada modifikasi agen terhadap file-file ini, titik. Hanya pengeditan manual pengguna.

Mengapa Kontrol Tingkat Aplikasi Gagal

Red Team membuat argumen yang meyakinkan untuk penegakan tingkat OS daripada pembatasan lapisan aplikasi. Setelah agen menelurkan subprocess, aplikasi induk kehilangan visibilitas. Penyerang secara rutin merangkai alat yang disetujui untuk mencapai yang diblokir—memanggil perintah terbatas melalui wrapper yang lebih aman.

macOS Seatbelt, Windows AppContainer, dan Linux Bubblewrap dapat menegakkan pembatasan di bawah lapisan aplikasi, menangkap jalur eksekusi tidak langsung yang terlewatkan oleh allowlist.

Rekomendasi yang Lebih Sulit

Di luar trio wajib, NVIDIA menguraikan kontrol untuk organisasi dengan toleransi risiko lebih rendah:

Virtualisasi penuh—VM, kontainer Kata, atau unikernel—mengisolasi kernel sandbox dari host. Solusi kernel bersama seperti Docker membiarkan kerentanan kernel dapat dieksploitasi. Overhead-nya nyata tetapi sering kali dikerdilkan oleh latensi inferensi LLM.

Injeksi rahasia daripada pewarisan. Mesin pengembang dimuat dengan kunci API, kredensial SSH, dan token AWS. Memulai sandbox dengan set kredensial kosong dan menyuntikkan hanya apa yang diperlukan untuk tugas saat ini membatasi radius ledakan.

Manajemen siklus hidup mencegah akumulasi artefak. Sandbox yang berjalan lama mengumpulkan dependensi, kredensial yang di-cache, dan kode proprietary yang dapat digunakan kembali oleh penyerang. Lingkungan ephemeral atau penghancuran terjadwal mengatasi ini.

Apa Artinya Ini untuk Tim Pengembangan

Waktunya penting. Agen coding AI telah bergerak dari kebaruan menjadi kebutuhan bagi banyak tim, tetapi praktik keamanan belum mengikuti. Persetujuan manual dari setiap tindakan menciptakan habituasi—pengembang menyetempel permintaan tanpa membacanya.

Pendekatan berjenjang NVIDIA menawarkan jalan tengah: daftar tolak perusahaan yang tidak dapat ditimpa, baca-tulis workspace tanpa gesekan, allowlist khusus untuk akses eksternal yang sah, dan tolak-default dengan persetujuan kasus per kasus untuk yang lainnya.

Kerangka kerja secara eksplisit menghindari menangani akurasi output atau manipulasi adversarial dari saran AI—itu tetap menjadi tanggung jawab pengembang. Tetapi untuk risiko eksekusi yang datang dari memberikan akses sistem nyata kepada agen AI? Ini adalah panduan publik paling rinci yang tersedia dari tim keamanan vendor besar.

Sumber gambar: Shutterstock