• October 29, 2025

“Bahaya Tersembunyi di Alat AI: Mengungkap RCE Kritis di Server MCP Populer”

Pendahuluan

Di era di mana kecerdasan buatan (AI) dan agen-otomasi menjadi bagian dari alur kerja pengembangan perangkat lunak, alat untuk menghubungkan agen-AI dengan data dan layanan eksternal – seperti server berbasis protokol Model Context Protocol (MCP) – semakin banyak digunakan. Namun demikian, dengan adopsi yang cepat datang pula risiko yang serius. Imperva Threat Research baru-baru ini mengungkap kerentanan kritis berupa eksekusi kode jarak jauh (RCE) dalam sebuah server MCP terbuka yang sangat populer.

Artikel ini akan menguraikan temuan tersebut—mulai dari bagaimana kerentanannya muncul, bagaimana cara kerjanya, dampaknya terhadap organisasi dan pengembang, serta langkah-langkah mitigasi yang bisa diambil.

Apa yang Terjadi: Kerentanan di MCP Server Populer

Kerentanan tersebut berlabel CVE‑2025‑53967 dan mempengaruhi salah satu implementasi server MCP yang sangat banyak diunduh (lebih dari 100.000 unduhan per bulan) bernama Framelink Figma MCP Server versi sebelum v0.6.3.

Inti masalahnya adalah pada mekanisme “fallback” ketika permintaan HTTP ke API gagal: server mencoba menggunakan perintah curl melalui child_process.exec dengan parameter URL atau header yang diambil secara langsung dari klien tanpa sanitasi cukup. Hal ini membuka jalur injeksi perintah shell yang kemudian memungkinkan pelaku untuk melakukan eksekusi kode secara remote dengan hak istimewa dari proses MCP.

Lebih konkret: alur eksploitasi berjalan dengan langkah seperti berikut:

  1. Klien menginisialisasi sesi ke server MCP, memperoleh sebuah session-id.

  2. Kemudian, klien atau agen AI mengirim permintaan JSON-RPC untuk memanggil tool seperti get_figma_data atau download_figma_images.

  3. Jika permintaan fetch gagal, kode fetchWithRetry memanggil curl dengan interpolasi parameter yang dapat diubah oleh pelaku. Dari sana, injeksi shell terjadi dan dapat menjalankan perintah arbitrer.

  4. Lokasi bind default 0.0.0.0 membuat server dapat diakses dari seluruh antarmuka jaringan, bukan hanya localhost, memperluas attack surface.

Kenapa Ini Serius

  • RCE (Remote Code Execution) adalah salah satu tipe kerentanan paling berbahaya — pelaku bisa menjalankan perintah sistem, mencuri data, meng-install malware atau ransomware.

  • Server MCP sering digunakan di lingkungan pengembangan atau integrasi AI yang memiliki akses ke kode sumber, API-key atau data sensitif — artinya kerugian potensial sangat besar.

  • Implementasi lokal atau workstation dari tool ini sering dianggap “aman” karena berada di lingkungan dev, sehingga sering pengamanan jaringan standar kurang diterapkan — hal ini memperbesar peluang eksploitasi.

  • Dampak tak hanya pencurian data, tetapi juga potensi “pivoting” atau bergerak ke sistem internal, karena akses berada pada jaringan perusahaan atau workstation yang terhubung.

Tabel Pendukung: Ringkasan Kerentanan & Dampak

Aspek Penjelasan Singkat Dampak Potensial
Produk yang terdampak Framelink Figma MCP Server versi < 0.6.3 Banyak instansi/developer menggunakan produk ini
Jenis kerentanan Command injection dalam fallback curl via child_process.exec Eksekusi kode jarak jauh (RCE)
Vektor eksploitasi HTTP POST dengan URL/header yang dikontrol pelaku Pelaku dapat mengirim payload injeksi shell
Lingkup akses Server bind ke 0.0.0.0 atau :: — semua antarmuka jaringan Akses bukan hanya lokal tapi juga jaringan luas
Versi perbaikan Patch tersedia pada versi 0.6.3 Pengguna harus segera update
Area mitigasi tambahan Pembatasan jaringan, containerisasi, validasi input, audit & monitoring Mengurangi kemungkinan eksploitasi dan meminimalkan damage

Langkah-Mitigasi & Rekomendasi

  1. Segera update ke versi ≥ 0.6.3 pada semua instance Framelink Figma MCP Server.

  2. Validasi dan sanitasi input: hindari interpolasi parameter user langsung ke perintah shell, gunakan execFile atau API tanpa shell.

  3. Batasi akses jaringan: bind server pada localhost atau antarmuka terbatas, jangan expose ke internet publik.

  4. Jalankan dalam container atau sandbox dengan hak minimal agar jika kompromi terjadi, blast radius terbatas.

  5. Monitoring, logging & deteksi anomali: pantau aktivitas POST yang tak biasa, statements shell dalam log, dan alerting terkait.

  6. Review alat-AI / pipeline dev: Karena server MCP sering menjadi bagian workflow AI, tim devops harus menyadari risiko ini dan mengevaluasi keamanan toolchain AI-agent mereka.

Kesimpulan

Temuan Imperva ini menjadi pengingat keras bahwa di dunia AI dan integrasi alat modern, “alat yang dianggap bantu” bisa menjadi “vektor serangan” jika keamanan tidak dipertimbangkan sejak awal. Server MCP — meskipun sering dianggap lokal atau dev-only — dapat membawa risiko yang besar ketika mengandung bug RCE dan diekspos ke jaringan yang lebih luas.

Bagi organisasi dan tim pengembang: gunakan momen ini untuk mengevaluasi seluruh pipeline AI, server-lokal, dan toolchain dev Anda — bukan hanya dari sisi fungsionalitas, tetapi juga dari sisi keamanan. Ketika alat dev Anda sendiri menjadi pintu masuk, maka Anda tidak hanya mempertaruhkan satu workstation, tetapi potensi seluruh jaringan dan data kritis Anda.

Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Imperva Indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi imperva.ilogoindonesia.id untuk informasi lebih lanjut!