Tim riset keamanan Brave telah mengungkap kerentanan kritis dalam browser Comet milik Perplexity yang memungkinkan penyerang mencuri kredensial pengguna melalui metode yang sangat sederhana. Penemuan ini telah memicu perdebatan sengit di komunitas teknologi, dengan para ahli keamanan mempertanyakan bagaimana cacat mendasar seperti ini bisa masuk ke tahap produksi.
Kerentanan ini berpusat pada apa yang disebut peneliti keamanan sebagai injeksi prompt tidak langsung - sebuah teknik di mana instruksi berbahaya disembunyikan dalam konten halaman web yang diproses oleh asisten AI. Ketika pengguna meminta Comet untuk merangkum halaman web, browser tersebut memberikan baik permintaan pengguna maupun konten halaman web langsung ke model AI-nya tanpa membedakan antara perintah pengguna yang terpercaya dan konten website yang berpotensi berbahaya.
Proses Serangan:
- Persiapan: Penyerang menyematkan instruksi berbahaya dalam konten web (teks tak terlihat, komentar HTML, postingan media sosial)
- Pemicu: Pengguna mengakses halaman web dan menggunakan fitur ringkasan AI
- Injeksi: AI memproses instruksi tersembunyi sebagai perintah pengguna yang sah
- Eksploitasi: AI melakukan tindakan tidak sah seperti mengakses situs perbankan atau mengekstrak kredensial
Reaksi Komunitas Menyoroti Kekhawatiran di Seluruh Industri
Respons komunitas teknologi sangat keras, dengan banyak yang menunjuk hal ini sebagai bukti pengembangan AI yang terburu-buru. Para profesional keamanan mengungkapkan frustrasi bahwa kelalaian fundamental seperti ini terjadi di perusahaan AI yang didanai dengan baik. Insiden ini telah memicu kembali diskusi tentang apakah industri AI memprioritaskan kecepatan daripada keamanan.
Ini bukan serangan canggih; ini adalah keamanan LLM 101. Sepertinya mereka tidak memiliki siapa pun yang memikirkan keamanan sama sekali, dan tentu saja tidak ada yang ditugaskan untuk keamanan.
Serangan ini bekerja melalui proses yang menipu namun sederhana. Penyerang dapat menyematkan instruksi berbahaya dalam konten halaman web menggunakan teks tak terlihat, komentar HTML, atau bahkan postingan media sosial. Ketika pengguna berinteraksi dengan fitur perangkuman Comet , AI memproses perintah tersembunyi ini sebagai permintaan pengguna yang sah, berpotensi mengakses situs perbankan, mengekstrak kata sandi, atau mengirim data sensitif ke server yang dikontrol penyerang.
Timeline Kerentanan:
- 26 Juli 2023: Penemuan awal dan laporan kepada Perplexity
- 27 Juli 2023: Perplexity mengakui dan menerapkan perbaikan awal
- 28 Juli 2023: Pengujian ulang mengungkap perbaikan yang tidak lengkap
- 13 Agustus 2023: Pengujian akhir menunjukkan patch yang tampak berhasil
- 28 Agustus 2023: Pengungkapan publik (kerentanan mungkin masih ada)
Tantangan Teknis Mengungkap Keterbatasan AI yang Lebih Dalam
Kerentanan ini mengekspos tantangan fundamental dengan teknologi AI saat ini. Tidak seperti langkah-langkah keamanan web tradisional yang dapat menciptakan batasan yang jelas antara konten terpercaya dan tidak terpercaya, model AI memproses semua teks dalam konteks yang sama. Hal ini membuat sangat sulit untuk memisahkan instruksi pengguna dari konten halaman web yang berpotensi berbahaya secara andal.
Beberapa solusi yang diusulkan ada, tetapi masing-masing datang dengan keterbatasan yang signifikan. Menambahkan pembatas khusus atau melatih model untuk mengabaikan konten tertentu terbukti tidak dapat diandalkan dalam praktik. Pendekatan paling aman melibatkan persetujuan manusia untuk tindakan sensitif, tetapi ini mengurangi kemampuan otonom yang membuat asisten AI menarik di tempat pertama.
Insiden ini juga menyoroti bagaimana asisten AI dapat melewati perlindungan keamanan web tradisional. Ketika AI bertindak dengan hak istimewa pengguna penuh di seluruh sesi yang diautentikasi, perlindungan konvensional seperti kebijakan same-origin menjadi tidak efektif. Ini menciptakan vektor serangan baru yang masih dipelajari oleh komunitas keamanan web untuk ditangani.
Mitigasi Keamanan yang Diusulkan:
- Pembedaan yang jelas antara instruksi pengguna dan konten situs web
- Pemeriksaan keselarasan pengguna untuk semua tindakan yang diusulkan AI
- Interaksi pengguna wajib untuk tugas-tugas yang sensitif terhadap keamanan
- Isolasi penjelajahan agentik dari sesi penjelajahan reguler
- Izin minimal dan kontrol akses yang terperinci
Implikasi yang Lebih Luas untuk Pengembangan Browser AI
Kerentanan ini mewakili lebih dari sekadar kelalaian satu perusahaan - ini mencerminkan tantangan sistemik yang dihadapi seluruh industri AI. Saat browser mengintegrasikan lebih banyak kemampuan AI, potensi serangan serupa meningkat secara dramatis. Taruhannya sangat tinggi ketika asisten AI memiliki akses ke sesi yang sudah login untuk layanan perbankan, kesehatan, dan layanan sensitif lainnya.
Riset Brave menyarankan beberapa strategi mitigasi, termasuk mengisolasi penjelajahan AI dari sesi penjelajahan reguler dan memerlukan konfirmasi pengguna eksplisit untuk tindakan sensitif. Namun, menerapkan perlindungan ini sambil mempertahankan pengalaman pengguna tetap menjadi tantangan signifikan bagi pengembang di seluruh industri.
Garis waktu pengungkapan menunjukkan respons awal Perplexity cepat tetapi tidak lengkap. Meskipun telah melalui beberapa putaran perbaikan, Brave mencatat bahwa kerentanan mungkin tidak sepenuhnya terselesaikan bahkan setelah pengungkapan publik. Pola perbaikan yang tidak lengkap ini menjadi semakin umum saat perusahaan berjuang untuk mengatasi tantangan keamanan baru yang ditimbulkan oleh integrasi AI.
Referensi: Agentic Browser Security: Indirect Prompt Injection in Perplexity Comet
 |
|---|
| Menjelajahi pentingnya kepercayaan dan keamanan dalam browser terintegrasi AI di tengah kerentanan |