Tiga Minggu. Tiga Panggilan Bangun.

Jika seseorang bekerja di industri perangkat lunak, April 2026 cukup ramai. Tiga cerita keamanan besar terjadi dalam waktu singkat, dan masing-masing menceritakan varian berbeda dari kebenaran yang tidak nyaman yang sama.

Es begann am 8. April, als Anthropic mengumumkan bahwa Claude Mythos Preview, ihr neuestes Frontier-Modell, nicht öffentlich veröffentlicht wird. Der Grund klingt fast surreal: Das Modell ist terlalu baik darin, kritische Schwachstellen in Betriebssystemen und Browsern zu finden. Statt einer öffentlichen Veröffentlichung gibt Anthropic nur einer kleinen Gruppe von Partnern Zugang — über die Initiative „Project Glasswing", damit Verteidiger Lücken schließen können, bevor Angreifer aufholen. Wer die ganze Story sehen will, di sini ada penjelasan singkat.

Wenige Tage später wurde paket axios-npm dibajak. Die Versionen 1.14.1 und 0.30.4 eines Pakets, das 70 bis 100 Millionen Mal pro Woche heruntergeladen wird, wurden mit einem Remote Access Trojan vergiftet — zurückverfolgt zu einer staatlich unterstützten nordkoreanischen Gruppe namens Sapphire Sleet. Wer im falschen Moment npm install ausgeführt hat, hat ihren Code laufen lassen. Zwei bis drei Stunden Verweildauer, bevor es überhaupt jemandem aufgefallen ist.

Dann, am 18. April, hat Vercel mengungkapkan pelanggaran — wobei niemand Vercel direkt gehackt hat. Ein Mitarbeiter eines kleinen AI-Tools namens Context AI hat sich Infostealer-Malware auf seinem Laptop eingefangen. Das hat den Angreifern einen Google-Workspace-OAuth-Token in die Hände gespielt. Dieser Token hat den Weg in Vercels interne Systeme geöffnet. Am Ende landeten Kunden-Credentials und Source Code untuk dijual seharga 2 juta dolar di forum peretas. Sebuah laptop. Dua perusahaan berjarak. Salah satu penyedia hosting terbesar di internet tetap berada dalam jangkauan.

Ketika melihat rantai dalam setiap cerita ini, tidak ada yang dimulai di tempat yang diharapkan. Cerita Anthropic membahas bagaimana kemampuan siber menyebar dari laboratorium AI. Cerita axios menunjukkan bagaimana kepercayaan pada Registri Paket mulai runtuh. Cerita Vercel berfokus pada satu laptop, dua perusahaan jauh dari korban sebenarnya. Polanya tidak bisa diabaikan: Vektor serangan menjadi lebih halus, tidak langsung, dan lebih sulit dikenali. Dan dampaknya mempengaruhi seluruh industri secara bersamaan.

Akhir Pekan Kami

Kami tidak ingin menunggu sampai masalah ini menghampiri kami. Jadi, kami mengosongkan kalender dan menjalani seluruh akhir pekan lokakarya keamanan — IT-Security Weekend 2026. Ini bukan tentang "membangun kesadaran" — kesadaran tidak pernah menjadi masalah. Ini tentang mengidentifikasi dengan jelas di mana titik lemah serangan kami, dan memiliki perubahan nyata yang aktif pada hari Senin.

Akhir pekan itu bukan hanya kerja. Kami menghabiskan waktu bersama di pantai, makan malam bersama, banyak tertawa — dan campuran inilah yang penting. Keamanan pada akhirnya adalah masalah tim, dan tim yang saling mengenal dengan baik akan bereaksi berbeda ketika situasi menjadi serius.

Ein zentraler Bestandteil war unser interner Security-Test, den jeder im Team durchlaufen hat. Der Test geht praktische Szenarien durch — Phishing-Versuche, Umgang mit Secrets, Erkennen verdächtiger OAuth-Anfragen, sicheres Arbeiten mit Dependencies — und macht sichtbar, wo im Team noch blinde Flecken sind. Das Ergebnis wird nicht im Schrank verstaut, sondern bestimmt, wo wir die nächsten Wochen nachschärfen. Den vollständigen Test gibt's in unserem Dokumen Tes Keamanan.

Kami telah merangkum diskusi konten menjadi tiga sumber risiko, dan mereka mencerminkan tiga cerita yang disebutkan di atas dengan cukup tepat.

Die erste ist perangkat pengembang. Ini adalah cerita Vercel. Satu laptop yang terkompromi sudah cukup untuk mengguncang seluruh penyedia infrastruktur. Kalimat "itu hanya komputer pribadi saya" tidak lagi berlaku, begitu komputer tersebut memiliki akses produksi, menyimpan token OAuth, atau memegang cookie sesi untuk sesuatu yang penting.

Die zweite ist kode sumber. Kode bersih bukan lagi hanya soal kualitas — ini juga soal keamanan. Kami menstandarkan baseline pengkodean yang mengutamakan keamanan, agar kerentanan tidak sampai ke produksi. Tinjauan kode untuk keamanan, bukan hanya untuk gaya. Rahasia keluar dari repositori. Default yang gagal dengan aman dalam keraguan daripada terbuka.

Die dritte ist perangkat lunak eksternal. Ini adalah pelajaran axios. Semakin banyak yang dibangun dan dihosting sendiri, semakin berharga sebagai target. Di mana masuk akal, kami ingin menggunakan perangkat lunak yang distandarisasi dan diuji keamanannya, daripada menarik paket Open-Source acak yang hanya menyelesaikan pekerjaan dengan cepat. Setiap ketergantungan adalah keputusan kepercayaan.

Apa yang telah kami capai

Kami tidak hanya berbicara saja. Hingga akhir IT-Security Weekend 2026, tiga hal konkret sudah berjalan.

Sebuah buku panduan penguatan yang praktis, disesuaikan di semua tim — Enkripsi disk, firewall OS, isolasi browser, tinjauan izin OAuth, dan prinsip yang jelas untuk menangani rahasia di mesin lokal. Ditambah pemeriksaan keamanan langsung dalam alur kerja pengembangan, bukan ditempelkan di akhir — Pemindaian ketergantungan, pemindaian rahasia, dan komitmen yang ditandatangani berjalan sebelum kode dapat digabungkan.

Namun, pengungkit terbesar adalah langkah kami dalam manajemen perangkat.

JumpCloud MDM: pelacakan perangkat aktif daripada daftar inventaris pasif

Wir haben JumpCloud MDM auf jedem Firmen-Gerät ausgerollt — und das ist deutlich mehr als ein klassisches MDM-Setup. Klassisches MDM weiß, welches Gerät welcher Person gehört und ob es verschlüsselt ist. Das war's dann meistens auch.

JumpCloud geht spürbar weiter. Das System scannt die Geräte kontinuierlich und baut ein profil risiko per karyawan auf — nicht nur pro Maschine. Es lernt mit der Zeit, wie ein bestimmter Mitarbeiter normalerweise arbeitet: welche Programme laufen, welche Netzwerke benutzt werden, welche Login-Muster typisch sind. Sobald ein Gerät davon abweicht — ungewöhnliche Prozesse, neue Software aus unerwarteten Quellen, Login-Versuche zu seltsamen Zeiten oder verdächtige Netzwerk-Aktivität — schlägt das System automatisch Alarm und alertet die Verantwortlichen sofort.

Inilah mekanisme yang membuat perbedaan di Vercel. Sebuah infostealer di laptop seorang karyawan tidak terdeteksi oleh satu sinyal keras — ia terdeteksi melalui pola yang menyimpang dari perilaku normal. Itulah yang dikenali JumpCloud secara otomatis, daripada menunggu seseorang menemukannya secara kebetulan.

Secara konkret, ini berarti: OS yang usang, enkripsi yang hilang, perangkat lunak yang tidak dikenal, atau lalu lintas yang mencurigakan tidak akan terlihat hanya pada audit berikutnya — tetapi pada saat itu terjadi.

Penghargaan

Ein ehrlicher Shoutout an Ari und Christian, yang telah lulus seluruh tes keamanan tanpa satu kesalahan pun. Dengan demikian, mereka menetapkan standar untuk kita semua.

Kesimpulan

Jika tim Anda pada tahun 2026 belum mengalami akhir pekan seperti ini, jangan menunggu sampai pelanggaran berikutnya memaksa Anda. Model ancaman telah bergeser, dan biaya untuk mengejar ketinggalan tidak lagi bersifat teoretis — saat ini, perusahaan nyata dengan data mereka berada di forum peretas nyata, dengan label harga jutaan.

Bagian tersulit dari keamanan bukanlah memilih alat yang tepat. Ini adalah menerima bahwa cara kerja tahun lalu tidak lagi aman hari ini — dan kemudian dengan cepat mengubah cara kerja.