Telset.id – Kerentanan keamanan baru bernama BioShocking berhasil mengecoh enam AI browser ternama untuk menyerahkan data sensitif pengguna, termasuk password tersimpan, cookie sesi, dan token pribadi. Teknik ini memanfaatkan celah psikologis pada sistem kecerdasan buatan dengan menyamarkan aksi pencurian sebagai bagian dari permainan yang tidak berbahaya.
Para peneliti keamanan dari LayerX menemukan bahwa AI browser dapat dengan mudah dimanipulasi jika konteks tugas yang diberikan diubah secara cerdik. BioShocking, yang namanya terinspirasi dari video game populer BioShock, bekerja dengan cara membuat AI percaya bahwa dirinya sedang berada dalam sebuah permainan teka-teki. Begitu AI terjebak dalam ilusi ini, seluruh aturan keamanan yang melindungi data pengguna menjadi lumpuh total.
Serangan ini menjadi pengingat bahwa seiring berkembangnya teknologi browser AI, ancaman siber pun ikut berevolusi. Para pengguna kini harus lebih waspada terhadap metode serangan yang tidak konvensional.
Mekanisme Serangan BioShocking
Serangan BioShocking dimulai ketika pengguna mengunjungi halaman web berbahaya. Halaman tersebut berisi perintah tersembunyi yang memberi tahu AI browser bahwa ia telah memasuki sebuah game untuk mencari string rahasia. Karena AI browser sangat bergantung pada konteks, perubahan framing ini langsung mengubah cara pandang sistem terhadap perintah yang diterimanya.
Halaman web tersebut kemudian menyajikan teka-teki bergaya BioShock di mana jawaban salah justru dianggap benar dan diberi poin. Logika sederhana seperti “dua tambah dua sama dengan lima” mulai diterima oleh AI. Setelah AI menerima logika yang menyimpang ini, aturan keamanannya mulai melemah.
Tahap selanjutnya, AI diberi tahu bahwa langkah berikutnya dalam permainan adalah menemukan dan menyalin kode tersembunyi dari halaman lain. Namun, kode yang dimaksud sebenarnya mengarah langsung ke informasi login pribadi pengguna. Dengan kata lain, permintaan untuk menyerahkan password yang tersimpan, yang biasanya akan diblokir, berhasil diubah menjadi sekadar tujuan permainan.
Alhasil, AI browser menyerahkan data sensitif tanpa menyadari risikonya. Teknik ini menunjukkan betapa rapuhnya pertahanan AI jika dihadapkan pada manipulasi konteks yang cerdas.
Baca Juga:
Daftar AI Browser yang Terbukti Rentan
Hasil pengujian menunjukkan bahwa semua enam AI browser yang diuji berhasil menyalin kredensial asli dan mengirimkannya langsung ke penyerang. Sistem tersebut bahkan menganggap aksi pencurian data sebagai kemenangan dalam permainan. Berikut adalah daftar AI browser yang terbukti rentan terhadap serangan BioShocking:
- ChatGPT Atlas dari OpenAI
- Perplexity’s Comet dari Perplexity
- Fellou
- Genspark Browser
- Sigma Browser
- Claude extension untuk Chrome dari Anthropic
LayerX telah memberitahu setiap vendor tentang temuan mereka antara Oktober 2025 dan Januari 2026 sebelum mempublikasikannya. OpenAI merespons dengan memperbaiki masalah di ChatGPT Atlas. Sementara itu, Perplexity menutup laporan tanpa melakukan tindakan. Anthropic mencoba memperbaiki ekstensi Claude, tetapi LayerX menyatakan bahwa patch tersebut tidak berhasil. Fellou, Genspark, dan Sigma bahkan tidak pernah merespons sama sekali.
Temuan ini menggarisbawahi bahwa seiring populernya AI browser, ancaman seperti BioShocking menunjukkan betapa mudahnya sistem tersebut dibujuk untuk membuat keputusan yang salah. Pengguna disarankan untuk selalu waspada terhadap tautan mencurigakan dan menjaga keamanan data pribadi mereka.
Komentar
Belum ada komentar.