Integrasi AI ke dalam sistem perangkat lunak telah secara signifikan mengubah lingkungan di sekitar pengembangan dan operasi aplikasi. Sistem berbasis AI ini, termasuk agen dan alur kerja otonom, secara aktif berpartisipasi dalam pengambilan keputusan dan berinteraksi dengan sistem lain, menciptakan tantangan keamanan baru. Meskipun pengamanan sistem ini secara tradisional berfokus pada perlindungan perintah, pengamanan rantai pasokan aplikasi AI sama pentingnya. Komponen seperti kerangka kerja dan lapisan orkestrasi merupakan target potensial bagi penyerang, yang dapat mengeksploitasi kerentanan untuk memanipulasi perilaku AI atau mendapatkan akses tidak sah ke sumber daya sensitif.

Identifikasi kerentanan baru-baru ini, CVE-2025-68664 (juga dikenal sebagai LangGrinch), di LangChain Core menyoroti pentingnya keamanan rantai pasokan AI. Kerentanan ini, yang terkait dengan deserialisasi yang tidak aman, dapat memungkinkan penyerang untuk mengekstrak informasi sensitif, membuat instance kelas yang tidak diinginkan, atau menyebabkan efek samping melalui inisialisasi objek yang berbahaya. Skor CVSS 9,3 menekankan pentingnya pemisahan sinyal kontrol dari data yang diberikan pengguna dengan benar dalam sistem orkestrasi AI.

Untuk mengatasi masalah ini, organisasi yang menggunakan LangChain disarankan untuk memperbarui ke versi terbaru paket langchain-core yang telah diperbaiki. Selain itu, kemampuan manajemen postur Microsoft Defender dapat membantu mengidentifikasi dan mengurangi risiko yang terkait dengan rantai pasokan AI. Microsoft Defender telah memperbarui pemindainya untuk memberikan visibilitas ke dalam beban kerja AI yang rentan dan mengidentifikasi kontainer dan mesin virtual yang terpengaruh. Tim keamanan juga dapat menggunakan kemampuan perburuan tingkat lanjut untuk secara proaktif mencari indikator eksploitasi, seperti akses tak terduga ke variabel lingkungan atau koneksi jaringan setelah interaksi dengan model bahasa besar (LLM).

Tim riset keamanan Microsoft, termasuk kontribusi dari Tamer Salman, Astar Lev, Yossi Weizman, Hagai Ran Kestenberg, dan Shai Yannai, terus memberikan wawasan dan panduan tentang pengamanan sistem berbasis AI. Organisasi disarankan untuk meninjau dokumentasi untuk kemampuan perlindungan waktu nyata dan mempelajari cara melindungi agen dan alur kerja AI mereka secara efektif.