Laporan terbaru dari Google Threat Intelligence Group (GTIG) menandai tonggak sejarah baru yang cukup meresahkan dalam dunia keamanan siber. Untuk pertama kalinya, peneliti mengidentifikasi eksploitasi zero-day yang diyakini kuat dikembangkan menggunakan bantuan kecerdasan buatan (AI).
Target dari serangan ini adalah sebuah alat administrasi web berbasis open-source populer (yang namanya masih dirahasiakan oleh Google demi keamanan). Eksploitasi tersebut dirancang khusus untuk memotong perlindungan Autentikasi Dua Faktor (2FA).
Mengapa Google Yakin Ini Buatan AI?
Berdasarkan analisis pada struktur kode Python yang digunakan, GTIG menyatakan tingkat kepercayaan tinggi bahwa pelaku menggunakan model bahasa besar (LLM) untuk menemukan dan menyulap kerentanan tersebut menjadi senjata. Beberapa “sidik jari” AI yang ditemukan antara lain:
- Docstrings yang “Terlalu Sopan”: Kode tersebut berisi banyak komentar (docstrings) yang bersifat edukatif, sangat mirip dengan format teks dalam data pelatihan LLM.
- Halusinasi Skor CVSS: Peneliti menemukan adanya skor CVSS (sistem penilaian keparahan kerentanan) yang berhalusinasi—ciri khas ketika AI mencoba memberikan informasi teknis namun “mengarang” detail spesifiknya.
- Bug Logika Semantik: AI sangat mahir menemukan celah logika tingkat tinggi daripada sekadar masalah sanitasi input atau korupsi memori yang biasanya ditemukan melalui metode fuzzing tradisional.
Catatan: Google menegaskan bahwa meskipun AI digunakan untuk pengembangan eksploitasi ini, model Gemini tidak terlibat dalam proses pembuatannya.
Tren Global: Industrialisasi AI oleh Negara-Negara Penyerang
Laporan ini juga memetakan bagaimana kelompok peretas yang disponsori negara telah mengadopsi AI secara agresif:
- China & Korea Utara (APT27, APT45, dll): Menggunakan AI untuk mempercepat penemuan kerentanan dan pengembangan kode eksploitasi.
- Rusia: Menggunakan AI untuk menghasilkan “kode umpan” (decoy code) guna mengaburkan malware asli seperti CANFAIL dan LONGSTREAM.
- Operasi “Overload”: Menggunakan AI voice cloning untuk memalsukan suara jurnalis asli dalam video propaganda anti-Ukraina.
PromptSpy: Manipulasi API Gemini pada Android
Google menyoroti sebuah backdoor Android bernama PromptSpy. Malware ini menggunakan modul “GeminiAutomationAgent” yang cukup cerdik:
- Bypass Safety Filter: Peretas menggunakan prompt yang telah diatur sedemikian rupa untuk memberikan persona “jinak” pada AI agar filter keamanan LLM bisa dilewati.
- Interaksi Otonom: Malware menggunakan API Gemini untuk menghitung geometri antarmuka pengguna (UI) secara mandiri, memungkinkan malware berinteraksi dengan perangkat korban seolah-olah dilakukan oleh manusia.
- Replay Authentication: AI membantu malware merekam dan memutar ulang pola kunci atau PIN perangkat korban.
Kesimpulan: Masa Depan Ancaman Siber
Ancaman ini menunjukkan bahwa peretas tidak lagi sekadar bereksperimen, melainkan mulai melakukan industrialisasi akses ke model AI premium melalui pembuatan akun otomatis dan infrastruktur proxy.
Google telah memberi tahu pengembang perangkat lunak terkait mengenai kerentanan ini dan mengambil tindakan untuk menghentikan serangan sebelum fase eksploitasi massal terjadi.
Sumber: Google GTIG Report