Serangan “BioShocking” Dapat Kelabui Browser AI untuk Mencuri Data Pengguna

Peneliti keamanan dari LayerX mengungkap teknik serangan baru bernama BioShocking yang dapat memanipulasi browser berbasis AI agar mengabaikan mekanisme keamanan dan melakukan tindakan sensitif, termasuk mencuri data pengguna.
Serangan ini memanfaatkan teknik prompt injection, yaitu metode yang menyisipkan instruksi tersembunyi agar agen AI menjalankan perintah yang seharusnya ditolak.
Dalam pengujian yang dilakukan LayerX, enam browser AI populer berhasil dipengaruhi oleh teknik tersebut.
Menipu AI Melalui Skenario Fiksi
BioShocking bekerja dengan cara membuat browser AI percaya bahwa seluruh aktivitas yang dilakukan merupakan bagian dari sebuah permainan fiksi, sehingga aturan keamanan yang biasanya diterapkan dianggap tidak lagi berlaku.
Sebagai bukti konsep (Proof-of-Concept/PoC), LayerX membuat sebuah halaman web bertema game BioShock yang berisi teka-teki.
Permainan tersebut justru memberikan penghargaan kepada AI ketika memberikan jawaban yang salah, sehingga secara bertahap “mengajari” agen AI bahwa tindakan yang biasanya dianggap keliru ternyata benar dalam konteks permainan.
Pada tahap akhir permainan, browser AI kemudian diperintahkan mengunjungi sebuah repositori GitHub dan menyalin berbagai informasi yang terdapat di dalam kode, termasuk data sensitif seperti password.
AI Sulit Membedakan Dunia Nyata dan Skenario Permainan
Menurut LayerX, kelemahan utama yang ditemukan adalah agen AI gagal membedakan antara tindakan yang hanya merupakan bagian dari skenario permainan dengan operasi nyata yang melibatkan data sensitif.
Setelah AI memahami bahwa aturan permainan memperbolehkan tindakan yang tidak biasa, seluruh agen yang diuji tidak lagi mengenali bahwa perintah untuk mengambil kredensial pengguna merupakan tindakan berbahaya.
Dalam pengujian tersebut, LayerX sengaja tidak melakukan pencurian data sungguhan. Namun, peneliti menegaskan bahwa teknik yang sama secara teknis dapat digunakan untuk menjalankan aksi berbahaya tanpa mengubah alur serangan.
Enam Browser AI Diuji
LayerX menguji BioShocking terhadap enam browser maupun agen AI populer, yaitu:
- ChatGPT Atlas.
- Comet.
- Fellou.
- Genspark Browser.
- Sigma Browser.
- Plugin Claude untuk Google Chrome.
Hasilnya, seluruh produk tersebut gagal mengenali bahwa instruksi yang diberikan melanggar kebijakan keamanan.
Respons Vendor Beragam
LayerX mengungkapkan bahwa temuan tersebut telah dilaporkan kepada masing-masing vendor sejak Oktober tahun lalu.
Namun, respons yang diterima berbeda-beda.
Menurut LayerX:
- OpenAI menjadi satu-satunya vendor yang telah menerapkan perbaikan efektif pada ChatGPT Atlas.
- Anthropic sempat merilis pembaruan untuk plugin Claude di Chrome, tetapi menurut LayerX solusi tersebut masih belum mampu menghentikan serangan BioShocking.
- Perplexity AI disebut telah menutup laporan tanpa merilis perbaikan.
Sementara itu, tiga vendor lainnya dilaporkan tidak memberikan tanggapan terhadap laporan yang dikirimkan oleh peneliti.
Rekomendasi Mitigasi
LayerX merekomendasikan agar pengembang browser AI menerapkan sejumlah langkah tambahan untuk mengurangi risiko serangan prompt injection, antara lain:
- Meminta konfirmasi pengguna sebelum menjalankan tindakan yang bersifat sensitif.
- Menambahkan pemeriksaan konteks yang lebih ketat.
- Membatasi ruang lingkup (scope) sesi agen AI agar tidak memiliki akses berlebihan.
Di sisi pengguna, LayerX juga menyarankan agar akses browser AI terhadap layanan yang menyimpan informasi sensitif dibatasi melalui pengaturan keamanan yang tersedia.
Temuan ini menunjukkan bahwa seiring semakin luasnya penggunaan browser berbasis AI, mekanisme perlindungan terhadap teknik prompt injection perlu terus ditingkatkan agar agen AI tidak mudah dimanipulasi untuk melakukan tindakan yang membahayakan pengguna.
Sumber: LayerX








