Dalam beberapa tahun terakhir, platform AI dan workflow automation berkembang sangat cepat. Organisasi kini dapat membangun chatbot, AI agent, workflow otomatis, integrasi API, hingga aplikasi berbasis Large Language Model (LLM) tanpa harus mengembangkan semuanya dari nol.
Salah satu platform yang mengalami pertumbuhan pesat adalah Dify, sebuah platform open-source untuk membangun aplikasi AI, agent, dan workflow berbasis LLM. Popularitasnya meningkat tajam berkat kemudahan integrasi dengan berbagai model AI dan sistem enterprise. Namun, seperti banyak platform AI modern lainnya, pertumbuhan fitur yang cepat sering kali tidak diimbangi dengan penguatan keamanan yang setara.
Penelitian terbaru yang dipublikasikan oleh Imperva menemukan dua kerentanan serius pada Dify yang memungkinkan pengambilalihan akun (Account Takeover) dan kebocoran source code antar tenant (Cross-Tenant Source Disclosure). Temuan ini menunjukkan bahwa platform AI tidak lagi sekadar alat produktivitas, melainkan telah menjadi bagian dari attack surface organisasi.
Mengapa Platform AI Menjadi Target Baru?
AI modern tidak bekerja secara terisolasi. Sebaliknya, AI agent biasanya memiliki akses ke:
-
Database perusahaan
-
Sistem CRM
-
API internal
-
Dokumen perusahaan
-
Workflow bisnis
-
Layanan cloud
Semakin banyak integrasi yang diberikan kepada AI, semakin besar pula permukaan serangan yang tersedia bagi pelaku ancaman. Para peneliti keamanan kini menyebut fenomena ini sebagai AI Attack Surface, yaitu seluruh komponen, data, API, model, dan workflow AI yang dapat menjadi target eksploitasi.
Evolusi Attack Surface
| Era | Fokus Keamanan |
|---|---|
| Web Application | Website dan API |
| Cloud Era | Infrastruktur dan identitas |
| SaaS Era | Data dan akses pengguna |
| AI Era | Model, agent, workflow, dan data AI |
Kerentanan Pertama: One-Click Account Takeover
Salah satu temuan Imperva berkaitan dengan mekanisme upload file dalam Dify.
Platform tersebut memungkinkan pengguna mengunggah berbagai jenis file melalui workflow seperti:
-
Image Downloader
-
Image Toolbox
-
File Processing Workflow
Peneliti menemukan bahwa file SVG yang berisi JavaScript dapat diunggah dan kemudian diakses melalui domain yang dipercaya browser sebagai bagian dari aplikasi utama. Akibatnya, kode JavaScript berbahaya dapat dijalankan dalam konteks sesi pengguna yang sedang login.
Dampak Kerentanan
| Dampak | Risiko |
|---|---|
| Session Hijacking | Pengambilalihan akun |
| Cookie Theft | Pencurian sesi login |
| API Abuse | Penyalahgunaan akses |
| Account Takeover | Kendali akun pengguna |
Yang membuat kerentanan ini berbahaya adalah fakta bahwa korban hanya perlu mengklik satu tautan yang tampak sah untuk memicu serangan.
Bagaimana Serangan Terjadi?
Secara sederhana, alur serangan berlangsung sebagai berikut:
Alur Eksploitasi
| Tahap | Aktivitas |
|---|---|
| 1 | Penyerang mengunggah SVG berbahaya |
| 2 | File tersimpan di server Dify |
| 3 | URL dibagikan kepada korban |
| 4 | Korban membuka tautan |
| 5 | JavaScript dijalankan |
| 6 | Session dicuri |
| 7 | Akun diambil alih |
Menurut Imperva, masalah utama berasal dari kombinasi antara pengelolaan file yang tidak aman dan kurangnya pembatasan akses terhadap file yang diunggah pengguna.
Kerentanan Kedua: Kebocoran Source Code Antar Tenant
Temuan kedua bahkan lebih mengkhawatirkan karena melibatkan lingkungan sandbox yang digunakan Dify untuk menjalankan kode Python.
Dalam arsitektur cloud multi-tenant, isolasi antar pengguna merupakan kontrol keamanan yang sangat penting. Namun Imperva menemukan bahwa beberapa proses sandbox berjalan menggunakan identitas pengguna (UID) yang sama dan berbagi direktori sementara yang sama.
Akibatnya:
-
File sementara milik tenant lain dapat terlihat.
-
Script workflow pengguna lain dapat diakses.
-
Informasi sensitif dapat bocor antar tenant.
Risiko Cross-Tenant Exposure
| Data yang Bocor | Dampak |
|---|---|
| Workflow Logic | Kebocoran proses bisnis |
| Source Code | Hilangnya IP perusahaan |
| API Logic | Penyalahgunaan integrasi |
| Automation Rules | Pemetaan sistem internal |
Mengapa Kebocoran Ini Berbahaya?
Banyak organisasi mulai membangun workflow AI yang berisi:
-
Prompt engineering proprietary.
-
Business process automation.
-
Integrasi ERP.
-
Integrasi CRM.
-
Logic internal perusahaan.
Jika workflow tersebut bocor, pelaku ancaman dapat memahami bagaimana organisasi mengelola proses bisnis dan memanfaatkan informasi tersebut untuk serangan lanjutan.
Contoh Informasi Bernilai Tinggi
| Asset | Nilai bagi Penyerang |
|---|---|
| Prompt Internal | Tinggi |
| API Keys | Sangat Tinggi |
| Business Logic | Tinggi |
| Integrasi Sistem | Sangat Tinggi |
| Data Pipeline | Tinggi |
Masalah yang Lebih Besar: AI Menjadi Infrastruktur Kritis
Temuan pada Dify bukan sekadar masalah satu vendor.
Banyak peneliti keamanan menyoroti bahwa AI kini berubah dari alat bantu menjadi operator yang memiliki akses langsung ke sistem bisnis. Ketika AI dapat membaca data, mengambil keputusan, dan menjalankan aksi otomatis, maka platform AI harus diperlakukan seperti infrastruktur kritis perusahaan.
Perubahan Peran AI
| Sebelumnya | Saat Ini |
|---|---|
| Chatbot sederhana | Agent otonom |
| Hanya membaca data | Membaca dan bertindak |
| Tool produktivitas | Operator bisnis |
| Risiko terbatas | Risiko lintas sistem |
Pelajaran Penting bagi Organisasi
Kasus Dify memperlihatkan bahwa keamanan AI tidak hanya berkaitan dengan prompt injection atau model AI itu sendiri.
Organisasi juga harus memperhatikan:
-
File upload security.
-
Tenant isolation.
-
Sandbox security.
-
Access control.
-
API permissions.
-
Workflow governance.
Sejumlah diskusi komunitas keamanan bahkan menyoroti bahwa banyak organisasi masih memberikan izin yang terlalu luas kepada AI agent sehingga meningkatkan blast radius ketika terjadi kompromi.
Praktik Terbaik Keamanan AI
| Kontrol | Tujuan |
|---|---|
| Least Privilege | Membatasi akses agent |
| Tenant Isolation | Mencegah kebocoran data |
| Secure Sandbox | Mengisolasi eksekusi kode |
| File Validation | Mencegah file berbahaya |
| Runtime Monitoring | Deteksi penyalahgunaan |
| Human Approval | Validasi aksi kritis |
Perbaikan yang Telah Dilakukan
Menurut laporan Imperva, Dify telah memperbaiki kedua masalah tersebut melalui pembaruan:
-
Dify 1.13.1 memperbaiki kerentanan file upload dan account takeover.
-
Dify Sandbox 0.2.13 memperkenalkan isolasi berbasis UID.
-
Dify 1.13.3 menyertakan sandbox yang telah diperbaiki.
Timeline Perbaikan
| Tanggal | Peristiwa |
|---|---|
| Januari 2026 | Disclosure awal |
| Maret 2026 | Patch pertama dirilis |
| Maret 2026 | Sandbox diperbaiki |
| Maret 2026 | Versi final dirilis |
Kesimpulan
Kasus Dify menunjukkan bagaimana platform AI modern dapat dengan cepat berubah menjadi attack surface yang sangat menarik bagi pelaku ancaman. Kerentanan yang ditemukan Imperva memungkinkan pengambilalihan akun hanya melalui satu klik dan membuka peluang kebocoran source code antar tenant pada lingkungan cloud bersama. Meskipun kedua masalah telah diperbaiki, insiden ini menjadi pengingat bahwa keamanan AI tidak hanya berkaitan dengan model dan prompt, tetapi juga mencakup file handling, sandboxing, tenant isolation, dan kontrol akses yang mendasari seluruh platform.
Bagi organisasi yang mulai mengadopsi AI agent, workflow automation, dan platform LLM, pendekatan keamanan harus bergeser. AI tidak lagi dapat diperlakukan sebagai fitur tambahan, melainkan sebagai bagian dari infrastruktur bisnis yang memiliki akses ke data, aplikasi, dan proses kritis. Semakin besar kemampuan yang diberikan kepada AI, semakin penting pula penerapan prinsip least privilege, isolasi yang kuat, monitoring berkelanjutan, dan tata kelola keamanan yang matang.
Imperva Indonesia merupakan bagian dari PT. iLogo Infralogy Indonesia, yang bertindak sebagai partner resmi Imperva.
Selain itu, kami juga berperan sebagai penyedia layanan (vendor) sekaligus distributor berbagai produk Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
