Peneliti keamanan mengungkap celah serius pada Gemini, asisten AI milik Google, yang memungkinkan kebocoran data pribadi dari Google Calendar hanya melalui instruksi bahasa alami. Teknik ini memanfaatkan prompt injection yang disamarkan dalam undangan kalender, sehingga mampu mengelabui mekanisme pertahanan Gemini.
Gemini merupakan asisten berbasis large language model (LLM) yang terintegrasi luas pada layanan Google dan aplikasi Workspace, termasuk Gmail dan Calendar. Ia dirancang untuk membantu pengguna merangkum email, menjawab pertanyaan, hingga mengelola jadwal. Namun, integrasi mendalam inilah yang dimanfaatkan penyerang.
Cara Kerja Serangan Berbasis Undangan Kalender
Serangan dimulai ketika korban menerima undangan acara dengan deskripsi yang berisi payload prompt injection. Deskripsi tersebut dirancang tampak normal, tetapi menyelipkan instruksi bahasa alami yang kelak dieksekusi oleh Gemini.
Pemicu kebocoran terjadi saat korban menanyakan hal rutin kepada Gemini—misalnya menanyakan jadwal pada hari tertentu. Pada momen ini, Gemini akan memuat dan menafsirkan seluruh acara relevan, termasuk undangan berbahaya tersebut. Instruksi tersembunyi kemudian dieksekusi oleh Gemini, yang berujung pada pembuatan acara baru berisi ringkasan rapat—termasuk rapat privat—di kolom deskripsi.
Dalam banyak lingkungan perusahaan, deskripsi acara dapat terlihat oleh peserta undangan. Akibatnya, informasi privat dan berpotensi sensitif dapat bocor ke pihak penyerang tanpa disadari korban.
Temuan Peneliti dan Celah Pertahanan
Riset ini dipublikasikan oleh Miggo Security, yang menunjukkan bahwa instruksi berbahaya dapat lolos dari deteksi karena dikemas sebagai perintah yang tampak aman. Gemini memang menggunakan model terpisah untuk mendeteksi prompt berbahaya, tetapi pendekatan ini masih bisa dilewati ketika konteks instruksi terlihat tidak mencurigakan.
Menurut para peneliti, dengan mengontrol kolom deskripsi acara, penyerang dapat “menanam” instruksi yang akan dipatuhi Gemini di kemudian hari. Payload tersebut bersifat dorman hingga korban memicu pemrosesan kalender oleh Gemini melalui pertanyaan rutin.
Bukan Insiden Pertama
Serangan prompt injection melalui judul atau deskripsi acara kalender bukan hal baru. Pada Agustus 2025, pendekatan serupa pernah ditunjukkan untuk membocorkan data sensitif dengan mengambil alih agen Gemini. Meski Google telah menambahkan lapisan pertahanan tambahan setelah laporan tersebut, temuan terbaru ini menegaskan bahwa kemampuan penalaran Gemini masih dapat dimanipulasi dengan instruksi berbahasa alami yang ambigu.
Miggo telah menyampaikan temuan ini kepada Google, dan perusahaan teknologi tersebut dikabarkan telah menerapkan mitigasi baru untuk memblokir serangan serupa. Meski demikian, konsep serangan ini menyoroti kompleksitas dalam mengantisipasi model eksploitasi baru pada sistem AI yang digerakkan oleh bahasa alami.
Implikasi Keamanan AI ke Depan
Para peneliti menekankan bahwa keamanan aplikasi berbasis AI perlu berevolusi dari sekadar deteksi sintaksis menuju pertahanan yang lebih peka konteks. Selama AI mengandalkan interpretasi bahasa alami dengan niat yang ambigu, permukaan serangan akan terus berkembang.
Kasus ini menjadi pengingat penting bagi organisasi dan pengembang bahwa integrasi AI yang semakin dalam harus diimbangi dengan pendekatan keamanan yang adaptif dan kontekstual, terutama saat AI diberi akses ke data pribadi dan sistem kolaborasi.