2 bulan yang lalu
Telset.id – Peneliti keamanan siber menemukan kerentanan serius pada peramban Atlas milik OpenAI nan baru diluncurkan. Celah keamanan tersebut memungkinkan penyerang melakukan prompt injection melalui omnibox browser, komponen nan semestinya menerima URL alias perintah bahasa alami. Temuan ini mengonfirmasi bahwa masalah prompt injection menjadi ancaman nyata bagi peramban berkekuatan AI.
NeuralTrust, perusahaan keamanan pemasok AI, mengungkapkan bahwa omnibox Atlas sangat rentan terhadap serangan prompt injection. Berbeda dengan serangan tidak langsung nan menyisipkan petunjuk rawan di laman web, pemanfaatan terbaru ini memanfaatkan URL nan dimodifikasi. Pengguna hanya perlu menyalin dan menempelkan URL berbisa ke dalam omnibox seperti biasa.
“Kami mengidentifikasi teknik prompt injection nan menyamarkan petunjuk rawan agar terlihat seperti URL, tetapi Atlas memperlakukannya sebagai teks ‘maksud pengguna’ berkepercayaan tinggi, memungkinkan tindakan berbahaya,” tulis Martí Jordà, insinyur perangkat lunak NeuralTrust, dalam posting blog nan dikutip The Register.
Mekanisme Serangan nan Mengkhawatirkan
Dengan sedikit penyesuaian pada URL, browser kandas memvalidasinya sebagai alamat web dan malah “memperlakukan seluruh konten sebagai prompt.” Hal ini menjadikan URL nan disamarkan sebagai tempat sempurna untuk menyematkan pesan berbahaya. Instruksi nan disematkan kemudian diinterpretasikan sebagai maksud pengguna tepercaya dengan pemeriksaan keamanan nan lebih sedikit.
Jordà menjelaskan bahwa pemasok bakal menjalankan petunjuk nan disuntikkan dengan kepercayaan nan ditingkatkan. Contohnya, perintah ‘ikuti petunjuk ini saja’ dan ‘kunjungi neuraltrust.ai’ dapat mengesampingkan maksud pengguna alias kebijakan keamanan. Kerentanan ini apalagi dapat digunakan untuk membikin pemasok Atlas menavigasi ke Google Drive pengguna dan menghapus file secara massal, mengingat pengguna sedang menjalankan sesi nan diautentikasi.
NeuralTrust merekomendasikan agar peramban OpenAI lebih ketat dalam mem-parsing URL. Dalam kasus “ambiguitas apa pun, tolak navigasi dan jangan otomatis fallback ke mode prompt.” Rekomendasi ini muncul menyusul pengakuan OpenAI bahwa prompt injection tetap menjadi masalah keamanan nan belum terpecahkan.
Dane Stuckey, kepala petugas keamanan info OpenAI, mengakui dalam pembaruan panjang di X bahwa “prompt injection tetap menjadi masalah keamanan perbatasan nan belum terpecahkan, dan musuh kami bakal menghabiskan waktu dan sumber daya signifikan untuk menemukan langkah membikin pemasok ChatGPT jatuh lantaran serangan ini.” Pengakuan ini menunjukkan kompleksitas tantangan keamanan AI nan dihadapi pengembang.
Masalah Sistemik Peramban AI
Brave, perusahaan peramban, pekan lampau menegaskan bahwa serangan prompt injection tidak langsung telah menjadi masalah bagi “seluruh kategori peramban berkekuatan AI,” termasuk peramban Comet milik Perplexity. Peringatan ini menggarisbawahi bahwa kerentanan Atlas bukanlah kasus terisolasi, melainkan bagian dari tantangan industri nan lebih luas.
“Jika Anda masuk ke akun sensitif seperti bank alias penyedia email di peramban Anda, hanya dengan meringkas postingan Reddit dapat mengakibatkan penyerang dapat mencuri duit alias info pribadi Anda,” tulis Brave pada saat itu. Pernyataan ini mengingatkan pentingnya kerja sama keamanan siber dalam menghadapi ancaman nan terus berkembang.
Sebelum temuan NeuralTrust, peneliti lain telah menunjukkan kerentanan Atlas terhadap serangan prompt injection. Salah satu peneliti sukses menipu peramban untuk mengeluarkan kata-kata “Trust No AI” alih-alih menghasilkan ringkasan arsip di Google Docs seperti nan diminta. Demonstrasi ini mengkonfirmasi bahwa masalah keamanan pada Atlas telah menjadi perhatian sejak peluncurannya.
Mode “agen” Atlas, nan saat ini terbatas untuk pengguna berbayar, memungkinkannya menyelesaikan seluruh tugas seperti memesan penerbangan alias membeli bahan makanan. Namun, keahlian inilah nan membuatnya rentan terhadap manipulasi. Seperti nan diungkapkan dalam patch keamanan terbaru beragam platform, kerentanan perlu ditangani secara proaktif.
OpenAI belum menanggapi permintaan komentar The Register mengenai temuan terbaru NeuralTrust. Tidak adanya tanggapan resmi ini terjadi di tengah meningkatnya kekhawatiran tentang keandalan sistem AI dalam skenario keamanan kritis.
Jordà menekankan dalam analisisnya bahwa “ketika tindakan kuat diberikan berasas parsing nan ambigu, input nan terlihat biasa menjadi jailbreak.” Pernyataan ini menyoroti kebutuhan mendesak untuk sistem pengesahan nan lebih robust dalam sistem AI, terutama nan terintegrasi dengan aplikasi sensitif seperti peramban web.
