Toxic Combinations: Risiko Akumulasi Izin Antar Aplikasi SaaS yang Tak Terduga

Toxic combinations adalah fenomena berbahaya yang terjadi ketika izin lintas aplikasi menumpuk tanpa pengawasan yang memadai, terutama dalam ekosistem SaaS yang semakin kompleks. Pada 31 Januari 2026, terungkap bahwa Moltbook, sebuah jejaring sosial yang dirancang untuk AI agent, membiarkan database-nya terbuka lebar, mengakibatkan bocornya 35.000 alamat email dan 1,5 juta token API agent dari sekitar 770.000 agent aktif.

Lebih mengkhawatirkan, dalam pesan privat yang terekam, ditemukan plaintext credentials pihak ketiga, termasuk OpenAI API keys yang dibagikan antar agent. Semua data sensitif ini tersimpan dalam tabel tidak terenkripsi yang sama dengan token yang bisa digunakan untuk mengambil alih agent tersebut.

Apa Itu Toxic Combinations dan Bagaimana Terbentuk?

Toxic combinations menggambarkan kerentanan akibat permission breakdown antara dua atau lebih aplikasi yang dihubungkan oleh AI agent, integrasi, atau OAuth grant, yang tidak pernah disetujui secara eksplisit oleh pemilik aplikasi manapun. Dalam kasus Moltbook, agent-agent tersebut berada di tengah jembatan yang membawa kredensial platform host dan layanan eksternal yang terhubung, namun tanpa pengawasan lintas aplikasi yang memadai.

Mayoritas pemeriksaan akses SaaS masih dilakukan per aplikasi, sehingga hubungan lintas aplikasi ini menjadi blind spot yang dimanfaatkan oleh penyerang.

Contoh Kasus Toxic Combinations

Bayangkan seorang pengembang menginstal konektor MCP agar IDE mereka bisa mengirim potongan kode ke channel Slack atas permintaan. Admin Slack menyetujui bot tersebut, admin IDE menyetujui koneksi keluar, tetapi tidak ada yang menyetujui hubungan kepercayaan antara pengeditan kode dan komunikasi bisnis yang terjadi saat kedua aplikasi aktif bersamaan.

• Prompt berbahaya di IDE dapat mendorong kode rahasia ke Slack.
• Instruksi yang ditempatkan di Slack dapat mengalir kembali ke konteks IDE pada sesi berikutnya.

Fenomena ini juga terjadi saat AI agent menghubungkan Google Drive dan Salesforce, bot menghubungkan repositori kode ke channel tim, atau integrasi lain yang membuat dua aplikasi saling percaya melalui grant yang tampak normal secara individual.

Mengapa Pemeriksaan Akses Satu Aplikasi Sering Gagal?

Pemeriksaan akses tradisional biasanya tidak mampu mengidentifikasi kerentanan ini karena:

• Identitas non-manusia seperti service account, bot, dan AI agent tidak selalu terdaftar dengan baik.
• Hubungan kepercayaan terbentuk secara dinamis saat runtime, bukan hanya saat provisioning.
• OAuth dan MCP membuat jembatan antar aplikasi tanpa dokumentasi atau pengawasan yang memadai.

Menjawab pertanyaan “Siapa yang memiliki scope A dan scope B, dan apa yang bisa dilakukan jika kedua scope itu digabungkan?” menjadi sangat sulit ketika token yang digunakan tidak pernah diprovisikan oleh sistem identitas manapun.

Menurut laporan The Hacker News, kesenjangan telemetri ini terus melebar dengan makin banyaknya AI agent dan integrasi yang bekerja di lintas aplikasi. Laporan Cloud Security Alliance State of SaaS Security 2025 juga menunjukkan 56% organisasi khawatir terhadap akses API yang berlebihan pada integrasi SaaS ke SaaS mereka.

Langkah-Langkah Mengatasi Toxic Combinations

Untuk mengatasi risiko ini, fokus pemeriksaan harus bergeser dari dalam aplikasi individual ke hubungan antar aplikasi. Beberapa langkah penting yang dapat diambil meliputi:

1. Inventarisasi identitas non-manusia: Semua AI agent, bot, server MCP, dan integrasi OAuth harus dicatat layaknya akun pengguna dengan pemilik dan tanggal review.
2. Pengawasan pemberian scope lintas aplikasi: Setiap pemberian scope baru pada identitas yang sudah memiliki scope di aplikasi lain harus diperiksa sebelum disetujui.
3. Review jembatan antar aplikasi saat pembuatan: Setiap konektor yang menghubungkan dua sistem harus memiliki jejak audit yang menyebutkan kedua sisi dan hubungan kepercayaannya.
4. Pengelolaan token jangka panjang: Token yang aktivitasnya menyimpang dari scope awalnya harus dipertimbangkan untuk dicabut.
5. Monitoring anomali runtime: Deteksi scope lintas aplikasi yang tidak biasa dan identitas yang mulai beroperasi di kombinasi aplikasi baru menjadi tanda awal toxic combinations.

Langkah-langkah ini lebih merupakan disiplin prosedural daripada pilihan produk dan dapat diterapkan dengan berbagai alat pemeriksaan akses yang ada. Namun, melihat hubungan ini secara skala besar sulit dilakukan tanpa platform yang memantau grafik runtime secara terus-menerus.

Peran Platform Keamanan SaaS Dinamis

Platform keamanan SaaS dinamis mengotomatisasi pandangan lintas aplikasi yang disarankan oleh prosedur review tersebut. Berbeda dengan IGA yang menginventarisasi peran pada sistem yang telah di-onboard, platform ini memantau grafik runtime secara konstan: identitas apa yang ada, aplikasi apa yang mereka akses, scope apa yang ada pada token, dan hubungan kepercayaan apa yang terbentuk setelah review provisioning terakhir.

Platform seperti Reco adalah contoh nyata dari kategori ini. Reco menghubungkan identitas, izin, dan aliran data di seluruh lingkungan SaaS sehingga kombinasi scope di Slack, Drive, dan Salesforce dapat dievaluasi sebagai satu eksposur, bukan tiga persetujuan terpisah.

Langkah pertama adalah menemukan semua AI agent, integrasi, dan identitas OAuth yang aktif, termasuk yang tidak diketahui tim keamanan. Setelah itu, Knowledge Graph Reco memetakan identitas manusia dan non-manusia ke aplikasi yang diakses serta hubungan jembatan di antaranya, secara otomatis menandai kombinasi yang berbahaya.

Ketika sebuah integrasi mulai berperilaku di luar batas yang disetujui, Reco secara otomatis mencabut akses berisiko sebelum disalahgunakan. Dengan demikian, yang direview bukan aplikasi secara terpisah, melainkan rantai hubungan antar aplikasi, sehingga toxic combinations menjadi terlihat.

Analisis Redaksi

Menurut pandangan redaksi, fenomena toxic combinations ini adalah game-changer dalam dunia keamanan SaaS. Risiko yang muncul dari hubungan lintas aplikasi yang tidak terduga ini menunjukkan adanya celah besar dalam tata kelola keamanan SaaS yang masih sangat fokus pada level aplikasi individual. Jika tidak ditangani, ancaman ini dapat menjadi jalur utama pelanggaran data selanjutnya karena agent bertindak dalam batas izin mereka tapi secara kolektif menimbulkan eksposur besar.

Organisasi perlu segera beradaptasi dengan model pengawasan yang mencakup seluruh lingkungan SaaS mereka secara holistik, bukan per aplikasi. Ini menuntut investasi dalam teknologi keamanan dinamis dan pengembangan prosedur audit lintas aplikasi yang ketat. Ke depan, kita harus waspada pada tren peningkatan penggunaan AI agent dan integrasi kompleks yang memperbesar potensi toxic combinations tanpa disadari.

Memantau dan mengelola hubungan kepercayaan secara real-time adalah kunci untuk mencegah kebocoran data dan serangan siber yang sulit dideteksi. Oleh karena itu, pembaca disarankan untuk terus mengikuti perkembangan solusi keamanan SaaS terbaru dan menerapkan prinsip pengelolaan izin lintas aplikasi secara ketat.

Untuk informasi lebih lanjut dan update terkait keamanan SaaS, kunjungi sumber asli berita ini di The Hacker News.