Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • CometJacking Serangan yang Mengubah AI Jadi Mata-Mata
  • Sektor Personal
  • Teknologi

CometJacking Serangan yang Mengubah AI Jadi Mata-Mata

4 min read
CometJacking Serangan yang Mengubah AI Jadi Mata-Mata

Credit image: Freepix

CometJacking Serangan yang Mengubah AI Jadi Mata-Mata – Pernahkah Anda membayangkan peramban (browser) web Anda bukan hanya jendela ke internet, tetapi juga asisten pribadi yang dapat mengatur email dan kalender Anda?

Inilah konsep di balik Comet, peramban AI (Artificial Intelligence) dari Perplexity, yang dirancang untuk membantu pengguna dengan tugas-tugas agentic atau otonom, seperti mengelola email, berbelanja, atau mengisi formulir.

Namun, kemampuan canggih ini juga membuka pintu bagi jenis serangan siber baru yang sangat berbahaya, yakni serangan yang dijuluki CometJacking.

Menunjukkan bagaimana peramban AI yang terintegrasi erat dengan data pribadi Anda dapat dengan mudah dibajak hanya dengan satu klik pada tautan yang tampaknya tidak berbahaya.

Ketika Tautan Menjadi Perintah Rahasia

CometJacking adalah jenis serangan Injeksi Prompt (Prompt Injection), sebuah teknik yang memanipulasi model AI dengan menyuntikkan instruksi tersembunyi.

Bayangkan AI Anda adalah seorang pelayan digital yang sangat patuh, serangan ini ibarat menyelinapkan catatan rahasia dan jahat ke pelayan tersebut.

Yang membuatnya mengabaikan instruksi majikannya (Anda) dan mulai mengikuti perintah dari pihak luar (penyerang).

Dalam kasus CometJacking yang ditemukan oleh peneliti keamanan LayerX, pembajakan ini dilakukan melalui parameter URL (bagian dari alamat link).

Baca juga: Pengelabuan Karakter Unik Menipu

CometJacking Dari Link ke Kebocoran Data

Dalam upayanya menjalankan aksinya Cometjacking melakukan beberapa langkah sebagai berikut:

Umpan (The Bait)

Penyerang membuat URL yang dirancang khusus. Tautan ini bisa dikirimkan melalui email phising atau disembunyikan di situs web yang sering Anda kunjungi.

Perintah Tersembunyi

Di dalam URL tersebut, penyerang menyisipkan instruksi jahat yang tersembunyi, menggunakan parameter URL tertentu, terutama parameter collection.

Pembajakan AI (The Hijack)

Ketika pengguna mengklik tautan tersebut, browser Comet AI akan memproses URL tersebut. Parameter collection memaksa agen AI untuk berkonsultasi dengan “memori” dan layanan yang terhubung (seperti Gmail atau Google Calendar), alih-alih melakukan pencarian web.

Agen AI mengikuti instruksi penyerang

  • Mengakses data sensitif (misalnya, undangan Kalender Google atau pesan email).
  • Mengodekan data tersebut (misalnya, menggunakan base64) untuk menyamarkannya.
  • Mengeksfiltrasi (mengirimkan) data yang sudah disamarkan tersebut ke server eksternal yang dikendalikan oleh penyerang.

Hebatnya dan sangat mengkhawatirkan serangan ini tidak memerlukan kredensial atau interaksi pengguna lebih lanjut. Hanya dengan satu klik, AI yang Anda percayai berubah menjadi insider threat (ancaman dari dalam).

Yang secara diam-diam mencuri data Anda, bahkan melewati pemeriksaan keamanan Perplexity yang seharusnya mencegah pengiriman data sensitif.

Baca juga: Indikasi Spyware di Dalam Ponsel

Dampak dan Implikasi yang Lebih Luas

CometJacking menyoroti risiko mendasar dari peramban AI yang “agentic” dan memiliki akses istimewa.

1. Pencurian Data Sensitif Massal

Dalam pengujian, peneliti berhasil mencuri undangan kalender dan pesan Gmail. Karena AI agent dapat mengakses apa pun yang Anda izinkan (data perusahaan, dokumen, atau detail keuangan), serangan ini berpotensi menyebabkan:

  • Pencurian Kekayaan Intelektual (IP) dari lingkungan korporat.
  • Pembocoran komunikasi bisnis yang rahasia.
  • Penyalahgunaan data pribadi (email, kontak, jadwal).

2. Bukan Hanya Pencurian, tetapi Manipulasi

Serangan ini tidak terbatas pada pencurian data. Perintah yang disisipkan juga dapat menginstruksikan agen AI untuk melakukan tindakan atas nama korban, seperti:

  • Mengirim email phising dari akun email korban.
  • Membuat atau memodifikasi dokumen di lingkungan cloud perusahaan.
  • Melakukan transaksi atau manipulasi lain yang sah di mata sistem.

3. Kebingungan Batasan Kepercayaan (Trust Boundary Confusion)

Injeksi prompt terjadi karena Model Bahasa Besar (LLM) tidak dapat sepenuhnya membedakan antara instruksi sistem yang sah (perintah dari pengembang) dan masukan yang disisipkan oleh penyerang.

Ketika agen AI terhubung ke layanan eksternal (email, CRM, ERP), ia menjadi titik serangan baru yang dikenal sebagai Permukaan Serangan yang Diperluas (Expanded Attack Surface).

Serangan seperti ini menunjukkan bahwa AI agent tanpa pengawasan keamanan yang ketat dapat berubah menjadi alat peretasan otomatis.

Baca juga: Ancaman Baru Berbahaya Sextortion Berbasis AI

Sikap Vendor dan Perlunya Kehati-hatian

LayerX telah melaporkan temuan ini kepada Perplexity. Namun, tanggapan awal dari tim keamanan Perplexity menyebut laporan tersebut “tidak berlaku” karena menganggapnya hanya sebagai “prompt injection sederhana” yang tidak memiliki dampak keamanan.

Sikap ini menggarisbawahi tantangan yang lebih besar: kurva pembelajaran keamanan yang harus dihadapi para pengembang AI.

Kerentanan ini, meskipun secara teknis merupakan prompt injection, menjadi sangat berbahaya karena agen AI memiliki otoritas tinggi (akses ke email dan kalender) yang tidak dimiliki chatbot biasa.

Pakar keamanan menekankan bahwa saat AI agent menjadi bagian tak terpisahkan dari pekerjaan (Zero Human in the Loop), perusahaan wajib:

  1. Terapkan Tata Kelola AI (AI Governance), melalui aturan ketat tentang data apa yang boleh diakses dan tindakan apa yang boleh dilakukan AI.
  2. Pengawasan Manusia, yakni memerlukan konfirmasi eksplisit dari pengguna sebelum AI melakukan tindakan sensitif (misalnya, mengirim email atau mengakses data sensitif).
  3. Pengujian Keamanan Khusus, dengan melakukan red teaming dan penetration testing yang dirancang khusus untuk menguji kelemahan unik pada AI agent.

CometJacking adalah pengingat yang jelas: Saat Anda memberi akses kepada asisten AI untuk mengelola email dan kalender, Anda memberikan kunci virtual ke kehidupan digital Anda. Keamanan siber tidak boleh menjadi pemikiran tambahan (afterthought) dalam era AI agentic.

 

 

 

Baca artikel lainnya: 

  • Pentingnya Tim dan Respons yang Tepat dalam Keamanan Siber
  • Phising Gaya Baru Memanfaatkan AI dan Kolaborasi Internal
  • Evolusi Phising dan Arah Masa Depan
  • MadeYouReset Teknik Serangan DoS Baru pada HTTP/2
  • PS1Bot Menyerang Melalui Malvertising
  • Industri Gim Menjadi Target Utama Penjahat Siber
  • Munculnya Ancaman Baru dan Strategi Pertahanan yang Harus Diadopsi
  • Mengapa Kaum Muda Lebih Rentan terhadap Ancaman Siber
  • Ancaman Ransomware Baru dengan Taktik Mirip Kelompok APT
  • Fitur Direct Sand Microsoft 365 Dieksploitasi

 

 

 

Sumber berita:

 

WeLiveSecurity

Post navigation

Previous Ancaman Siber Intai Sektor Manufaktur dan Solusi MDR
Next Celah Zero-Day Zimbra Meretas Email & Kata Sandi

Related Stories

Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker
5 min read
  • Sektor Bisnis
  • Sektor Personal

Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker

October 8, 2025
Peretas Kini Serang Lewat Obrolan dan Kode QR Peretas Kini Serang Lewat Obrolan dan Kode QR
3 min read
  • Sektor Personal
  • Teknologi

Peretas Kini Serang Lewat Obrolan dan Kode QR

October 8, 2025
Pentingnya Layanan IT Terkelola dan Peran AI Pentingnya Layanan IT Terkelola dan Peran AI
4 min read
  • Sektor Bisnis
  • Teknologi

Pentingnya Layanan IT Terkelola dan Peran AI

October 8, 2025

Recent Posts

  • Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker
  • Peretas Kini Serang Lewat Obrolan dan Kode QR
  • Pentingnya Layanan IT Terkelola dan Peran AI
  • Celah Zero-Day Zimbra Meretas Email & Kata Sandi
  • CometJacking Serangan yang Mengubah AI Jadi Mata-Mata
  • Ancaman Siber Intai Sektor Manufaktur dan Solusi MDR
  • Email Phising AI Tipu Semua Orang
  • Dua Spyware Android Mengintai Pengguna Signal dan ToTok
  • Bahaya Tersembunyi Aplikasi VPN Seluler Gratis
  • Klopatra Ratu Trojan Perbankan Licik Penguras Uang Saat Tidur

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker
5 min read
  • Sektor Bisnis
  • Sektor Personal

Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker

October 8, 2025
Peretas Kini Serang Lewat Obrolan dan Kode QR Peretas Kini Serang Lewat Obrolan dan Kode QR
3 min read
  • Sektor Personal
  • Teknologi

Peretas Kini Serang Lewat Obrolan dan Kode QR

October 8, 2025
Pentingnya Layanan IT Terkelola dan Peran AI Pentingnya Layanan IT Terkelola dan Peran AI
4 min read
  • Sektor Bisnis
  • Teknologi

Pentingnya Layanan IT Terkelola dan Peran AI

October 8, 2025
Celah Zero-Day Zimbra Meretas Email & Kata Sandi Celah Zero-Day Zimbra Meretas Email & Kata Sandi
4 min read
  • Sektor Personal

Celah Zero-Day Zimbra Meretas Email & Kata Sandi

October 7, 2025

Copyright © All rights reserved. | DarkNews by AF themes.