Credit image: Freepix
Ketika AI Menjadi Mata-Mata di Kotak Masuk Email Anda – Banyak orang kini mengintegrasikan agen AI seperti ChatGPT dengan kotak masuk email mereka untuk mempermudah pekerjaan, seperti meringkas pesan atau menyusun draf balasan.
Namun, kemudahan ini datang dengan risiko baru yang sangat berbahaya: pencurian data yang tidak terdeteksi. Para peneliti telah menemukan celah keamanan yang mengejutkan, yang mereka beri nama ShadowLeak.
Serangan ShadowLeak
ShadowLeak adalah taktik di mana penjahat siber mencuri data dari email korban tanpa meninggalkan jejak yang mencurigakan di jaringan mereka.
Serangan ini memanfaatkan cara kerja agen AI. Ketika Anda meminta AI untuk meringkas email, permintaan tersebut akan diproses di infrastruktur penyedia layanan AI (misalnya, OpenAI).
AI akan mengambil data email Anda melalui API, memprosesnya, dan memberikan respons. Yang perlu Anda ketahui, tidak ada aktivitas mencurigakan yang terjadi di jaringan Anda sendiri, sehingga alat keamanan tradisional tidak akan mendeteksinya.
Ini adalah kunci yang membedakan ShadowLeak dari kerentanan lain. Serangan ini memanfaatkan celah yang disebut Indirect Prompt Injection (Injeksi Prompt Tidak Langsung).
Dimana penyerang tidak berinteraksi langsung dengan AI, melainkan menyusupkan perintah jahat ke dalam data yang akan diproses oleh AI.
Cara Kerja ShadowLeak
Proses serangan ShadowLeak sangat cerdik dan berlapis:
- Penyerang mengirim email yang terlihat normal kepada target. Di dalam badan email tersebut, mereka menyisipkan kode berbahaya secara tersembunyi. Kode ini bisa berupa teks yang sangat kecil, atau bahkan teks putih dengan latar belakang putih, sehingga tidak terlihat oleh mata telanjang. Kode ini ditulis dalam bahasa HTML, format standar untuk email, agar tidak menimbulkan kecurigaan.
- Korban, tanpa sadar, meminta agen AI untuk melakukan tugas yang melibatkan email tersebut misalnya, “ringkas semua email yang belum dibaca.
- Saat agen AI memindai konten email, ia akan membaca kode tersembunyi. Karena tidak ada red flag yang jelas, AI dapat saja menjalankan perintah yang terkandung dalam kode tersebut. Dalam pengujian yang dilakukan Radware, AI bahkan lebih rentan ketika perintah disajikan dengan nada mendesak, seperti “periksa kepatuhan HR yang mendesak.
- Kode berbahaya tersebut kemudian dapat menginstruksikan AI untuk mengirimkan konten email korban (atau data lain yang dapat diakses oleh AI) ke server yang dikendalikan oleh penyerang. Pada akhirnya, korban mendapatkan ringkasan email yang mereka minta, tanpa menyadari bahwa data rahasia mereka telah dicuri.
Data yang bisa dicuri mencakup kredensial, catatan bisnis rahasia, informasi pribadi yang memalukan, atau informasi yang dapat menimbulkan konsekuensi hukum.
Mengatasi Serangan Injeksi Prompt pada Agen AI
Para ahli keamanan siber telah melaporkan kerentanan ini kepada OpenAI. Meskipun OpenAI telah memperbaiki masalah ini pada Agustus 2025.
Detail teknis tentang cara perbaikannya tidak diungkapkan secara jelas. Menurut para ahli, solusi yang efektif harus berlapis, mencakup:
- Sanitasi Input: Memastikan input yang masuk ke AI bersih dari kode berbahaya.
- Logging yang Kuat: Merekam semua aktivitas AI secara detail untuk memantau perilaku yang tidak biasa.
- Pelatihan AI: Melatih model AI untuk lebih baik dalam mengenali niat jahat.
Peneliti menekankan pentingnya mekanisme yang dapat membedakan antara instruksi pengguna yang sah dengan perintah berbahaya.
Jika kita meminta ringkas email saya, dan tiba-tiba ada perintah dari server jahat untuk mengambil data pelanggan terbesar dari server ERP dan mengirimkannya ke URL kustom, maka harus ada sistem yang mengenali bahwa ini tidak sesuai dengan niat awal.
|
Baca juga: Phising Gaya Baru Memanfaatkan AI dan Kolaborasi Internal |
Saran Melindungi Diri
Meskipun ancaman ini terdengar menakutkan, ada beberapa langkah yang dapat Anda ambil untuk mengurangi risiko:
- Batasi akses agen AI hanya pada data yang benar-benar dibutuhkan. Jangan berikan akses penuh ke semua email atau layanan lain jika tidak diperlukan.
- Berhati-hatilah terhadap email yang berisi tautan atau lampiran mencurigakan, bahkan jika Anda tidak berencana untuk mengintegrasikannya dengan AI.
- Alat keamanan tradisional yang hanya mengandalkan deteksi malware di jaringan Anda mungkin tidak cukup. Organisasi perlu mempertimbangkan solusi keamanan yang menggunakan AI untuk mendeteksi niat jahat, bukan hanya pola malware yang sudah dikenal.
- Edukasi adalah garis pertahanan pertama dan terpenting. Pastikan semua pengguna, baik di lingkungan pribadi maupun profesional, menyadari ancaman baru ini dan tahu cara mengidentifikasi email mencurigakan.
Solusi jangka panjang untuk ancaman yang ditujukan pada agen AI mungkin memerlukan lebih banyak alat AI. Untuk menggunakan model bahasa besar (LLM), Anda harus menambahkan lebih banyak LLM untuk mendeteksi niat jahat.
Sumber berita:
