TEKNOLOGI, Perspektif.co.id — GitHub Security Lab secara resmi membuka akses publik terhadap agen AI bertenaga large language model yang selama beberapa bulan terakhir digunakan secara internal untuk memburu celah keamanan berbahaya di proyek-proyek perangkat lunak open source. Sejak didirikan pada 2019, GitHub Security Lab memiliki satu tujuan utama: keamanan berbasis komunitas — keyakinan bahwa cara terbaik meningkatkan keamanan perangkat lunak adalah dengan berbagi pengetahuan dan alat secara terbuka. Kini, misi itu naik ke level berikutnya lewat hadirnya GitHub Security Lab Taskflow Agent yang kini dapat diunduh dan digunakan siapa saja.

Selama beberapa bulan terakhir, tim peneliti keamanan GitHub menggunakan Taskflow Agent bersama serangkaian taskflow audit yang dirancang khusus untuk mendeteksi kerentanan keamanan web, dan hasilnya terbukti sangat efektif dalam menemukan celah berdampak tinggi di berbagai proyek open source. Dari penggunaan intensif tersebut, lebih dari 80 kerentanan berhasil dilaporkan ke para pengembang terdampak.

Alat yang disebut GitHub Security Lab Taskflow Agent ini bekerja dengan cara memecah proses audit menjadi serangkaian langkah terstruktur yang disebut taskflow, alih-alih mengandalkan satu prompt besar yang rawan menghasilkan hasil tidak akurat. Dari total 1.003 isu yang disarankan AI tersebut di lebih dari 40 repositori, sebanyak 139 di antaranya dikonfirmasi sebagai kerentanan potensial yang layak ditindaklanjuti.

Salah satu temuan paling mengejutkan melibatkan platform komunikasi korporat populer, Rocket.Chat. Agen AI tersebut mengidentifikasi bahwa pengguna dapat masuk ke akun siapa saja menggunakan kata sandi apa pun, akibat potongan kode yang seharusnya menangani validasi kata sandi secara asinkron tidak hadir di tempat yang semestinya. Celah ini mendapat skor CVSS 9.3 — dikategorikan critical — dan berpangkal dari satu kata kunci await yang hilang dari logika validasi kata sandi.

Dalam kasus lain, saat agen diarahkan ke platform e-commerce berbasis PHP, WooCommerce, taskflow langsung menemukan cara bagi pengguna yang sudah login untuk melihat semua pesanan tamu — termasuk informasi identitas pribadi seperti nama, alamat, dan nomor telepon. Setelah dilaporkan, Automattic selaku perusahaan di balik WooCommerce segera merilis pembaruan (CVE-2025-15033) beserta unggahan blog resmi yang menjelaskan perbaikan tersebut.

“GitHub Security Lab Taskflow Agent sangat efektif dalam menemukan Auth Bypass, IDOR, Token Leak, dan kerentanan berdampak tinggi lainnya,” demikian pernyataan resmi yang dipublikasikan tim GitHub Security Lab dalam blog pengumuman rilisnya.

Secara teknis, kerangka kerja ini memungkinkan eksekusi tugas secara asinkron di berbagai komponen kode, memungkinkan penggunaan ulang prompt dan logika audit secara efisien. Templated prompt dapat disubstitusi secara dinamis dengan detail spesifik komponen saat dijalankan, sehingga mempercepat proses audit pada basis kode berukuran besar.

Untuk menjalankannya, pengguna memerlukan lisensi GitHub Copilot dan perlu menyiapkan codespace. Sebuah skrip sederhana ./scripts/run_audit.sh myorg/myrepo sudah cukup untuk memulai proses pemindaian, yang bisa memakan waktu beberapa jam untuk repositori berukuran menengah. Hasil audit kemudian ditampilkan melalui penampil SQLite yang menyoroti kerentanan yang teridentifikasi.

GitHub juga membangun agen ini dengan dukungan antarmuka Model Context Protocol (MCP) untuk berintegrasi dengan alat keamanan yang sudah ada seperti CodeQL, membuka jalan bagi komunitas untuk memperluas kemampuan deteksi kerentanan secara kolaboratif dan lebih cepat dari sebelumnya.