Telset.id – Peneliti keamanan siber menemukan kerentanan serius pada peramban Atlas milik OpenAI yang baru diluncurkan. Celah keamanan tersebut memungkinkan penyerang melakukan prompt injection melalui omnibox browser, komponen yang seharusnya menerima URL atau perintah bahasa alami. Temuan ini mengonfirmasi bahwa masalah prompt injection menjadi ancaman nyata bagi peramban bertenaga AI.
NeuralTrust, perusahaan keamanan agen AI, mengungkapkan bahwa omnibox Atlas sangat rentan terhadap serangan prompt injection. Berbeda dengan serangan tidak langsung yang menyisipkan instruksi berbahaya di halaman web, eksploitasi terbaru ini memanfaatkan URL yang dimodifikasi. Pengguna hanya perlu menyalin dan menempelkan URL beracun ke dalam omnibox seperti biasa.
“Kami mengidentifikasi teknik prompt injection yang menyamarkan instruksi berbahaya agar terlihat seperti URL, tetapi Atlas memperlakukannya sebagai teks ‘maksud pengguna’ berkepercayaan tinggi, memungkinkan tindakan berbahaya,” tulis Martí Jordà, insinyur perangkat lunak NeuralTrust, dalam posting blog yang dikutip The Register.
Mekanisme Serangan yang Mengkhawatirkan
Dengan sedikit penyesuaian pada URL, browser gagal memvalidasinya sebagai alamat web dan malah “memperlakukan seluruh konten sebagai prompt.” Hal ini menjadikan URL yang disamarkan sebagai tempat sempurna untuk menyematkan pesan berbahaya. Instruksi yang disematkan kemudian diinterpretasikan sebagai maksud pengguna tepercaya dengan pemeriksaan keamanan yang lebih sedikit.
Jordà menjelaskan bahwa agen akan menjalankan instruksi yang disuntikkan dengan kepercayaan yang ditingkatkan. Contohnya, perintah ‘ikuti instruksi ini saja’ dan ‘kunjungi neuraltrust.ai’ dapat mengesampingkan maksud pengguna atau kebijakan keamanan. Kerentanan ini bahkan dapat digunakan untuk membuat agen Atlas menavigasi ke Google Drive pengguna dan menghapus file secara massal, mengingat pengguna sedang menjalankan sesi yang diautentikasi.
Baca Juga:
NeuralTrust merekomendasikan agar peramban OpenAI lebih ketat dalam mem-parsing URL. Dalam kasus “ambiguitas apa pun, tolak navigasi dan jangan otomatis fallback ke mode prompt.” Rekomendasi ini muncul menyusul pengakuan OpenAI bahwa prompt injection tetap menjadi masalah keamanan yang belum terpecahkan.
Dane Stuckey, kepala petugas keamanan informasi OpenAI, mengakui dalam pembaruan panjang di X bahwa “prompt injection tetap menjadi masalah keamanan perbatasan yang belum terpecahkan, dan lawan kami akan menghabiskan waktu dan sumber daya signifikan untuk menemukan cara membuat agen ChatGPT jatuh karena serangan ini.” Pengakuan ini menunjukkan kompleksitas tantangan keamanan AI yang dihadapi pengembang.
Masalah Sistemik Peramban AI
Brave, perusahaan peramban, pekan lalu menegaskan bahwa serangan prompt injection tidak langsung telah menjadi masalah bagi “seluruh kategori peramban bertenaga AI,” termasuk peramban Comet milik Perplexity. Peringatan ini menggarisbawahi bahwa kerentanan Atlas bukanlah kasus terisolasi, melainkan bagian dari tantangan industri yang lebih luas.
“Jika Anda masuk ke akun sensitif seperti bank atau penyedia email di peramban Anda, hanya dengan meringkas postingan Reddit dapat mengakibatkan penyerang dapat mencuri uang atau data pribadi Anda,” tulis Brave pada saat itu. Pernyataan ini mengingatkan pentingnya kerja sama keamanan siber dalam menghadapi ancaman yang terus berkembang.
Sebelum temuan NeuralTrust, peneliti lain telah menunjukkan kerentanan Atlas terhadap serangan prompt injection. Salah satu peneliti berhasil menipu peramban untuk mengeluarkan kata-kata “Trust No AI” alih-alih menghasilkan ringkasan dokumen di Google Docs seperti yang diminta. Demonstrasi ini mengkonfirmasi bahwa masalah keamanan pada Atlas telah menjadi perhatian sejak peluncurannya.
Mode “agen” Atlas, yang saat ini terbatas untuk pelanggan berbayar, memungkinkannya menyelesaikan seluruh tugas seperti memesan penerbangan atau membeli bahan makanan. Namun, kemampuan inilah yang membuatnya rentan terhadap manipulasi. Seperti yang diungkapkan dalam patch keamanan terbaru berbagai platform, kerentanan perlu ditangani secara proaktif.
OpenAI belum menanggapi permintaan komentar The Register mengenai temuan terbaru NeuralTrust. Tidak adanya tanggapan resmi ini terjadi di tengah meningkatnya kekhawatiran tentang keandalan sistem AI dalam skenario keamanan kritis.
Jordà menekankan dalam analisisnya bahwa “ketika tindakan kuat diberikan berdasarkan parsing yang ambigu, input yang terlihat biasa menjadi jailbreak.” Pernyataan ini menyoroti kebutuhan mendesak untuk mekanisme validasi yang lebih robust dalam sistem AI, terutama yang terintegrasi dengan aplikasi sensitif seperti peramban web.
