Home Data Breach ShadowLeak: Celah Zero-Click di ChatGPT Deep Research Ungkap Data Gmail Pengguna

ShadowLeak: Celah Zero-Click di ChatGPT Deep Research Ungkap Data Gmail Pengguna

Admin September 20, 2025
Admin
Image by <a href="https://pixabay.com/users/gabrielle_cc-4448339/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3070472">gabrielle_cc</a> from <a href="https://pixabay.com//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3070472">Pixabay</a>

ShadowLeak: Celah Zero-Click di ChatGPT Deep Research yang Mengancam Keamanan Data Gmail

Para peneliti keamanan siber mengungkap adanya kerentanan serius pada fitur Deep Research milik OpenAI ChatGPT. Celah ini memungkinkan pelaku ancaman membocorkan data sensitif dari kotak masuk Gmail hanya dengan satu email berisi instruksi tersembunyi – tanpa memerlukan tindakan apa pun dari pengguna.

Serangan ini diberi nama ShadowLeak oleh tim Radware. Menurut laporan, celah tersebut diungkap secara bertanggung jawab pada 18 Juni 2025 dan baru diperbaiki oleh OpenAI pada awal Agustus 2025. Kasus ini menunjukkan bahwa ancaman keamanan berbasis kecerdasan buatan kini semakin canggih, terlebih pada layanan yang mengintegrasikan koneksi langsung ke data pengguna.

Indirect Prompt Injection Tersembunyi di Balik HTML Email

ShadowLeak memanfaatkan teknik indirect prompt injection yang tersembunyi di dalam HTML email. Melalui trik desain seperti font berukuran sangat kecil, teks putih di atas latar putih, atau tata letak manipulatif, instruksi berbahaya dapat disisipkan tanpa terlihat oleh korban. Meski pengguna tidak melihat perintah tersebut, agen AI tetap membacanya dan mengeksekusinya.

Menurut peneliti keamanan Zvika Babo, Gabi Nakibly, dan Maor Uziel, serangan ini berbeda dari penelitian sebelumnya yang bergantung pada rendering gambar di sisi klien. ShadowLeak justru mengekstrak data langsung dari infrastruktur cloud OpenAI, sehingga serangan ini tidak terdeteksi oleh sistem pertahanan lokal maupun korporasi.

Fitur Deep Research: Kekuatan yang Jadi Kelemahan

Deep Research sendiri adalah kemampuan agenik yang diperkenalkan OpenAI pada Februari 2025. Fitur ini dirancang untuk melakukan riset multi-tahap di internet agar menghasilkan laporan mendalam. Konsep serupa juga telah diadopsi oleh chatbot populer lain seperti Google Gemini dan Perplexity.

Namun, dalam kasus ShadowLeak, kemampuan ini justru dimanfaatkan untuk tujuan jahat. Pelaku mengirim email yang tampak biasa, padahal menyimpan instruksi tersembunyi yang meminta agen AI mengumpulkan informasi pribadi dari pesan lain di inbox korban dan mengirimkannya ke server eksternal. Saat pengguna meminta Deep Research menganalisis email Gmail mereka, agen pun tanpa sadar mengeksekusi perintah tersebut dan mentransmisikan data dalam format Base64 menggunakan tool browser.open().

Strategi Eksfiltrasi Data Lewat Base64

Radware menjelaskan bahwa mereka berhasil menciptakan prompt yang secara eksplisit menginstruksikan agen AI untuk menggunakan browser.open() menuju URL berbahaya. Mereka juga membingkai instruksi encoding Base64 seolah sebagai langkah pengamanan data sebelum transmisi, sehingga agen tidak menganggapnya sebagai aktivitas mencurigakan.

Meski proof-of-concept ini bergantung pada pengguna yang mengaktifkan integrasi Gmail, para peneliti menegaskan serangan serupa bisa diperluas ke berbagai konektor lain yang didukung ChatGPT. Mulai dari Box, Dropbox, GitHub, Google Drive, HubSpot, Microsoft Outlook, Notion, hingga SharePoint – semua berpotensi menjadi permukaan serangan baru.

Beda dengan AgentFlayer dan EchoLeak


Keunikan ShadowLeak dibanding kerentanan serupa seperti AgentFlayer dan EchoLeak terletak pada proses eksfiltrasi datanya. Jika serangan sebelumnya terjadi di sisi klien, ShadowLeak berlangsung langsung di lingkungan cloud OpenAI, sehingga lebih sulit dideteksi dan memotong mekanisme pertahanan tradisional. Aspek inilah yang menjadikan ShadowLeak jauh lebih berbahaya dibanding indirect prompt injection sebelumnya.

Tantangan Lain: ChatGPT Dipaksa Memecahkan CAPTCHA

Pengungkapan ShadowLeak datang bersamaan dengan temuan lain dari SPLX, platform keamanan AI. Mereka menunjukkan bahwa dengan kombinasi prompt tertentu dan manipulasi konteks, agen ChatGPT dapat digiring untuk memecahkan CAPTCHA berbasis gambar yang seharusnya dirancang untuk memverifikasi manusia.

Peneliti Dorian Schultz menjelaskan, trik ini melibatkan pembukaan percakapan ChatGPT-4o biasa untuk menyusun rencana “memecahkan CAPTCHA palsu”. Selanjutnya percakapan tersebut ditempelkan ke sesi agen baru dengan klaim “ini diskusi sebelumnya”, sehingga model merasa sudah menyetujui tindakan tersebut. Dengan cara itu, agen memecahkan CAPTCHA nyata tanpa resistensi, bahkan menyesuaikan pergerakan kursor agar menyerupai perilaku manusia.

Pentingnya Integritas Konteks dan Red Teaming

Temuan ini menegaskan pentingnya integritas konteks, kebersihan memori (memory hygiene), dan red teaming berkelanjutan pada sistem AI. Tanpa perlindungan yang tepat, model bisa direkayasa untuk menganggap kontrol keamanan sebagai “palsu” dan kemudian melewati pembatasan.

Kasus ShadowLeak dan eksploit CAPTCHA sama-sama menunjukkan bahwa semakin canggihnya AI, semakin besar pula kebutuhan untuk mengaudit dan menguji sistem tersebut secara berkelanjutan agar tetap aman.

Admin

Share this

Add Comments


EmoticonEmoticon

Langganan: Posting Komentar (Atom)