Kerentanan RCE pada GitHub Copilot CLI (CVE-2026-29783)

Bandung, 12 Maret 2026 — Mengidentifikasi adanya celah keamanan kritis pada GitHub Copilot CLI yang berpotensi memicu eksekusi kode berbahaya secara arbitrer (Arbitrary Code Execution). Temuan in manipulasi perintah shell dapat digunakan oleh pihak tidak bertanggung jawab untuk melampaui sistem keamanan internal pada alat bantu berbasis AI tersebut.

Analisis Kerentanan

Kerentanan yang terdaftar sebagai CVE-2026-29783 ini ditemukan pada mekanisme penilaian keamanan (safety assessment) GitHub Copilot CLI. Secara teknis, sistem ini gagal memvalidasi penggunaan fitur Bash Parameter Expansion yang bersifat kompleks.

Metode ini memungkinkan penyisipan instruksi tersembunyi di dalam argumen yang tampak sebagai perintah "read-only" (seperti echo atau ls). Hal tersebut membuat perintah berbahaya dapat dieksekusi tanpa memicu peringatan keamanan kepada pengguna.

Dampak Temuan

Berdasarkan analisis, keberhasilan eksploitasi terhadap celah ini memungkinkan penyerang untuk:

• Melakukan modifikasi atau penghapusan file sistem.
• Melakukan eksfiltrasi data sensitif dari lingkungan kerja pengembang.
• Mendapatkan akses kontrol jarak jauh (remote access) pada perangkat yang terdampak.

Langkah Penanganan (Remediasi)

Pihak pengembang telah merilis pembaruan pada versi 0.0.423 untuk menutup celah ini. Pembaruan tersebut mencakup tiga lapisan pertahanan baru: deteksi pada tingkat parsing, pemblokiran pola ekspansi berbahaya secara tanpa syarat, serta penguatan instruksi pada sistem prompt LLM.

Bagi para praktisi TI dan pengembang, disarankan untuk memastikan versi GitHub Copilot CLI yang digunakan telah diperbarui ke versi terbaru dan tetap melakukan peninjauan mandiri terhadap setiap perintah shell kompleks yang dihasilkan oleh AI.

Sumber Referensi:
https://github.com/advisories/GHSA-g8r9-g2v8-jv6f