Merangkum postingan Reddit malah rekening terkuras? Jebakan keamanan tersembunyi di browser AI

 (aisparkup.com)
6 poin oleh davespark 2025-10-27 | 2 komentar | Bagikan ke WhatsApp

Di balik kenyamanan browser AI yang menjalankan tugas web atas nama pengguna, tersembunyi kerentanan keamanan fatal. Riset tim keamanan Brave mengungkap bahwa hanya dengan merangkum postingan Reddit atau mengunjungi situs web, informasi email maupun rekening bank dapat dicuri. Ini terjadi karena cacat struktural di mana AI tidak mampu membedakan input pengguna dan konten web, sebuah contoh klasik serangan indirect prompt injection.

Contoh kerentanan utama
  • Browser Perplexity Comet: Mengenali teks biru muda yang disembunyikan di dalam tangkapan layar (hampir tak terlihat oleh mata manusia) melalui OCR lalu mengeksekusi perintah berbahaya. Contoh: membuka halaman perplexity.ai/account/details, mengekstrak email pengguna, lalu mengirimkannya ke server penyerang. Mengabaikan pertanyaan pengguna (misalnya, "Siapa penulis foto ini?"). Ditemukan pada 1 Oktober 2025, patch belum terkonfirmasi.
  • Browser Fellou: Saat mengunjungi situs web berbahaya, mengikuti perintah dari teks halaman, lalu setelah login otomatis ke Gmail membaca judul email terbaru dan mengirimkannya ke server eksternal. Tidak ada prosedur konfirmasi pengguna. Ditemukan pada 20 Agustus 2025, belum diperbaiki meski sudah lewat 3 bulan.
Analisis penyebab

Tidak mengisolasi asal seperti Same-Origin Policy pada browser tradisional, LLM memperlakukan semua teks secara setara, dan berjalan dengan hak autentikasi pengguna. Kegagalan membedakan input tepercaya (perintah pengguna) dan input tak tepercaya (konten web) adalah masalah mendasarnya.

Penilaian para ahli
  • Simon Willison: "Menimbulkan skeptisisme mendalam terhadap seluruh kategori browser AI."
  • Tim Brave: "Ini adalah tantangan sistemik; agentic browsing pada dasarnya berisiko."
Rekomendasi dan prospek

Sebaiknya hindari penggunaan saat akun sensitif sedang dalam keadaan login, dan fungsi agen perlu diisolasi. Brave sedang meneliti solusi jangka panjang dan berencana mengungkap rencana browsing aman pada postingan berikutnya. Terlepas dari kenyamanan menarik yang ditawarkan browser AI, penguatan keamanan kini menjadi hal yang mendesak.

Bacaan terkait

2 komentar

 
crawler 2025-10-27

Ternyata soal rekening di judul itu cuma clickbait.... Tapi tetap tulisan yang menarik ya
 
saramin200 2025-10-27

Sepertinya akun diterjemahkan mesin lalu informasi rekeningnya ikut terekspos.