Ekosistem artificial intelligence (AI) terus berkembang pesat, tapi di balik kemajuannya, ada ancaman serius yang mulai menghantui fondasi sistem AI di berbagai perusahaan besar. Baru-baru ini, para peneliti keamanan dari Oligo Security menemukan serangkaian celah Remote Code Execution (RCE) yang cukup berbahaya di beberapa framework AI milik Meta, NVIDIA, Microsoft, hingga proyek PyTorch seperti vLLM dan SGLang.
Baca Juga : Prompt Engineering: Tutorial, Sertifikasi & Pekerjaannya
Kumpulan kerentanan ini diberi nama “ShadowMQ”, dan sumber masalahnya ternyata berasal dari implementasi komunikasi ZeroMQ (ZMQ) yang tidak aman, serta penggunaan deserialisasi Python melalui modul pickle. Kombinasi keduanya membuat sistem menjadi sangat rentan, terutama ketika dijalankan dalam lingkungan enterprise yang kompleks.
Yang bikin ancaman ini makin mengkhawatirkan adalah pola penyebarannya. Banyak framework AI yang terdampak ternyata menggunakan potongan kode hasil copy-paste dari satu proyek ke proyek lainnya. Akibatnya, bug yang sama ikut bermigrasi tanpa disadari.
Bagaimana Celah Ini Bisa Menyebar ke Banyak Framework?
Riset ini pertama kali dimulai pada 2024 ketika tim peneliti Oligo Security menganalisis Llama Stack milik Meta. Mereka menemukan penggunaan metode recv_pyobj() dari ZeroMQ, yang ternyata mendeserialisasi data melalui pickle. Ketika proses ini berlangsung tanpa autentikasi atau validasi, penyerang bisa menyisipkan perintah berbahaya dari jarak jauh dan mengeksekusinya.
Untuk gambaran lengkapnya, berikut daftar CVE yang terkait dengan ShadowMQ:
Tabel Kerentanan ShadowMQ
| CVE ID | Produk | Severity | CVSS | Jenis Kerentanan |
|---|---|---|---|---|
| CVE-2024-50050 | Meta Llama Stack | Critical | 9.8 | Remote Code Execution |
| CVE-2025-30165 | vLLM | Critical | 9.8 | Remote Code Execution |
| CVE-2025-23254 | NVIDIA TensorRT-LLM | Critical | 9.3 | Remote Code Execution |
| CVE-2025-60455 | Modular Max Server | Critical | 9.8 | Remote Code Execution |
| N/A (Unpatched) | Microsoft Sarathi-Serve | Critical | 9.8 | Remote Code Execution |
| N/A (Incomplete Fix) | SGLang | Critical | 9.8 | Remote Code Execution |
Konfigurasi seperti ini menciptakan socket jaringan tanpa autentikasi yang bisa dieksploitasi untuk menjalankan kode arbitrer hanya melalui proses deserialisasi. Dengan kata lain, cukup kirimkan data berbahaya ke socket—dan penyerang bisa mengambil alih sistem.
Setelah Meta merilis patch untuk CVE-2024-50050, peneliti Oligo kembali melakukan pengecekan ke framework lain. Hasilnya cukup mengejutkan: vLLM, TensorRT-LLM, SGLang, hingga Modular Max Server menunjukkan pola kerentanan yang hampir identik.
Analisis kode yang dilakukan Oligo menegaskan bahwa beberapa file benar-benar terlihat seperti hasil copy-paste antar proyek. Karena framework-framework ini dipakai sebagai server inference AI yang menangani data sensitif dalam skala besar, dampaknya bisa sangat luas.
Siapa Saja yang Berisiko?
SGLang saja sudah digunakan oleh banyak organisasi besar seperti:
-
xAI
-
AMD
-
NVIDIA
-
Intel
-
LinkedIn
-
Oracle Cloud
-
Google Cloud
-
Microsoft Azure
-
AWS
-
MIT
-
Stanford
-
UC Berkeley
dan berbagai perusahaan teknologi lainnya.
Jika celah ini dieksploitasi, penyerang bisa:
-
menjalankan kode berbahaya,
-
meningkatkan hak akses,
-
mencuri data model AI, atau
-
menginstal cryptocurrency miner tanpa terdeteksi.
Lebih parah lagi, para peneliti menemukan ribuan socket ZMQ yang terhubung ke internet tanpa enkripsi. Dalam kondisi seperti ini, serangan dapat dilakukan dari mana saja tanpa perlu akses khusus.
Sayangnya, hingga laporan ini dibuat, Microsoft Sarathi-Serve masih belum memiliki patch, dan perbaikan untuk SGLang juga dinilai belum sepenuhnya menutup celah.
Apa yang Harus Dilakukan Perusahaan?
Untuk meminimalkan risiko, organisasi disarankan melakukan langkah-langkah berikut:
-
Segera lakukan update ke versi framework yang sudah menerima patch.
-
Hindari penggunaan pickle untuk memproses data dari sumber yang tidak sepenuhnya tepercaya.
-
Aktifkan autentikasi pada komunikasi berbasis ZeroMQ.
-
Batasi akses jaringan ke endpoint ZMQ agar tidak terbuka ke publik.
-
Lakukan audit keamanan pada modul komunikasi internal, terutama jika menggunakan pola reuse kode dari proyek lain.
Baca Juga : 10 Website AI untuk Menjawab Soal Ujian dengan Cepat dan Akurat
Dengan ekosistem AI yang berkembang semakin cepat, celah keamanan seperti ShadowMQ menjadi pengingat bahwa inovasi harus selalu berjalan berdampingan dengan kontrol keamanan yang ketat. Dan untuk perusahaan yang sudah sangat mengandalkan AI dalam operasional mereka, tindakan pencegahan semacam ini bukan lagi pilihan—tapi keharusan.
