.png)
Kemunculan browser web berbasis kecerdasan buatan yang mampu bertindak secara otonom membawa perubahan signifikan dalam cara pengguna berinteraksi dengan internet. Namun penelitian terbaru menunjukkan bahwa teknologi tersebut juga membuka permukaan serangan baru yang sebelumnya tidak ada. Peneliti keamanan menemukan bahwa browser AI yang dirancang untuk menjalankan tugas secara otomatis atas nama pengguna dapat dilatih dan dimanipulasi hingga akhirnya terjebak dalam skema phishing atau penipuan daring.
Temuan ini berasal dari penelitian yang dilakukan oleh perusahaan keamanan Guardio, yang menganalisis perilaku browser berbasis AI ketika berinteraksi dengan berbagai situs web secara otomatis. Browser jenis ini biasanya dilengkapi agen AI yang mampu membaca halaman web, menafsirkan informasi, membuat keputusan, dan menjalankan tindakan tertentu seperti mengisi formulir, menavigasi situs, atau mengeksekusi perintah pengguna tanpa intervensi langsung.
Dalam praktiknya, agen AI tersebut terus berkomunikasi dengan layanan AI yang berjalan di server vendor. Selama proses ini, sistem sering kali menjelaskan atau “menarasikan” langkah-langkah yang sedang dilakukan, termasuk apa yang dilihat pada halaman web, keputusan yang diambil, serta sinyal keamanan yang dianggap mencurigakan atau aman. Peneliti Guardio menyebut fenomena ini sebagai Agentic Blabbering, yaitu kondisi di mana browser AI secara tidak sengaja mengungkap terlalu banyak informasi mengenai proses penalarannya sendiri.
Menurut peneliti keamanan Shaked Chen, narasi internal tersebut dapat menjadi sumber informasi berharga bagi penyerang. Dengan mengamati bagaimana agen AI menilai sebuah halaman web, penyerang dapat memahami apa yang membuat sistem tersebut merasa ragu atau curiga. Informasi ini kemudian dapat digunakan untuk menyesuaikan strategi serangan sehingga halaman berbahaya tampak lebih meyakinkan bagi model AI.
Penelitian tersebut menunjukkan bahwa proses manipulasi ini dapat dilakukan secara sistematis menggunakan teknik pembelajaran mesin. Guardio mendemonstrasikan bagaimana lalu lintas komunikasi antara browser AI dan server layanan AI dapat dianalisis, kemudian digunakan sebagai input untuk melatih model Generative Adversarial Network atau GAN. Model ini memungkinkan penyerang secara otomatis mengembangkan halaman phishing yang terus disempurnakan hingga akhirnya berhasil melewati mekanisme keamanan browser AI.
Dalam eksperimen yang dilakukan, para peneliti berhasil membuat browser AI Comet milik Perplexity masuk ke dalam perangkap phishing dalam waktu kurang dari empat menit. Dengan kata lain, sistem penipuan tersebut secara iteratif menyesuaikan tampilan dan perilaku halaman web hingga agen AI tidak lagi menganggapnya sebagai ancaman dan melanjutkan tindakan yang diminta oleh penyerang.
Pendekatan ini mencerminkan perubahan penting dalam lanskap keamanan siber. Dalam skenario penipuan tradisional, target utama biasanya adalah manusia. Penyerang berusaha memanfaatkan psikologi pengguna melalui email palsu, halaman login tiruan, atau pesan manipulatif agar korban secara sukarela memberikan kredensial atau informasi sensitif. Namun pada sistem berbasis agen AI, fokus serangan dapat bergeser dari manusia ke model AI itu sendiri.
Dengan kata lain, jika agen AI dipercaya untuk melakukan tugas secara mandiri tanpa pengawasan manusia secara konstan, maka penyerang hanya perlu menipu model tersebut. Setelah sebuah halaman phishing berhasil dirancang untuk melewati mekanisme keamanan browser AI tertentu, halaman tersebut berpotensi berhasil terhadap semua pengguna yang menggunakan agen AI yang sama.
Guardio menjelaskan bahwa skenario ini memungkinkan munculnya apa yang mereka sebut sebagai “mesin penipuan” otomatis. Sistem tersebut dapat terus menghasilkan dan mengoptimalkan halaman phishing hingga browser AI berhenti menganggapnya mencurigakan. Setelah kondisi tersebut tercapai, agen AI dapat diarahkan untuk melakukan tindakan berbahaya, seperti memasukkan kredensial pengguna ke dalam halaman login palsu yang dirancang untuk skema penipuan pengembalian dana.
Implikasi dari pendekatan ini cukup signifikan. Berbeda dengan serangan phishing konvensional yang sering memerlukan distribusi massal dan menunggu korban jatuh ke dalam perangkap, serangan yang menargetkan agen AI dapat dilatih secara offline terlebih dahulu. Artinya, penyerang dapat menguji berbagai variasi halaman berbahaya terhadap model AI tertentu hingga menemukan metode yang paling efektif sebelum serangan diluncurkan ke publik.
Menurut Guardio, kondisi tersebut mengindikasikan kemungkinan masa depan di mana serangan penipuan tidak lagi sekadar disesuaikan berdasarkan respons korban manusia di lapangan, tetapi dilatih terlebih dahulu terhadap model AI yang digunakan oleh jutaan pengguna. Jika browser AI memberikan penjelasan tentang alasan menghentikan suatu tindakan, penjelasan tersebut secara tidak langsung dapat mengajarkan penyerang bagaimana cara melewati perlindungan sistem tersebut.
Penelitian Guardio juga sejalan dengan sejumlah temuan keamanan lain yang menyoroti kerentanan pada browser berbasis AI. Perusahaan keamanan Trail of Bits sebelumnya mendemonstrasikan beberapa teknik prompt injection yang dapat digunakan untuk mengekstrak informasi pribadi pengguna melalui asisten AI yang terintegrasi dalam browser.
Dalam salah satu skenario yang diuji, penyerang dapat memanfaatkan halaman web yang dikendalikan sendiri untuk menyisipkan instruksi berbahaya. Ketika pengguna meminta agen AI untuk merangkum isi halaman tersebut, instruksi tersembunyi dalam halaman dapat memicu agen AI untuk mengambil data sensitif dari layanan lain seperti Gmail dan mengirimkannya ke server penyerang.
Penelitian lain dari Zenity Labs juga mengungkap dua serangan zero-click yang menargetkan browser Comet. Serangan tersebut memanfaatkan teknik prompt injection tidak langsung yang disisipkan dalam undangan rapat. Ketika agen AI memproses informasi tersebut, instruksi tersembunyi dapat menyebabkan kebocoran file lokal ke server eksternal atau bahkan mengambil alih akun pengelola kata sandi 1Password jika ekstensi tersebut terpasang dan dalam kondisi terbuka.
Kerentanan tersebut secara kolektif diberi nama PerplexedBrowser oleh para peneliti. Perusahaan pengembang browser AI tersebut dilaporkan telah memperbaiki masalah yang ditemukan setelah laporan keamanan disampaikan.
Salah satu teknik yang digunakan dalam serangan tersebut dikenal sebagai intent collision. Teknik ini terjadi ketika agen AI menggabungkan permintaan pengguna yang sah dengan instruksi berbahaya yang berasal dari data web yang tidak tepercaya. Tanpa mekanisme yang jelas untuk membedakan kedua sumber tersebut, sistem dapat menghasilkan rencana eksekusi tunggal yang secara tidak sengaja mengikuti instruksi penyerang.
Masalah prompt injection sendiri telah lama dianggap sebagai tantangan fundamental dalam keamanan model bahasa besar atau LLM. Kerentanan ini muncul karena model AI dirancang untuk memproses instruksi dalam bentuk bahasa alami, yang berarti perintah berbahaya dapat disamarkan sebagai bagian dari konten biasa di halaman web, dokumen, atau pesan.
Sejumlah peneliti menilai bahwa menghilangkan sepenuhnya kerentanan tersebut mungkin tidak realistis. Pada Desember 2025, OpenAI menyatakan bahwa kelemahan semacam ini kemungkinan tidak akan pernah dapat dihilangkan sepenuhnya dalam sistem agen AI yang beroperasi secara otonom di lingkungan web.
Sebagai gantinya, pendekatan mitigasi difokuskan pada pengurangan risiko melalui teknik seperti penemuan serangan otomatis, pelatihan adversarial terhadap model AI, serta pengembangan mekanisme perlindungan baru di tingkat sistem. Pendekatan ini bertujuan untuk membuat agen AI lebih tangguh dalam menghadapi manipulasi konten yang dirancang secara khusus untuk mengecoh sistem.
Perkembangan ini menunjukkan bahwa integrasi AI ke dalam browser dan aplikasi web tidak hanya membawa peningkatan kemampuan otomatisasi, tetapi juga memunculkan tantangan keamanan baru yang kompleks. Ketika agen AI semakin diberi kepercayaan untuk menjalankan tugas penting atas nama pengguna, keamanan model itu sendiri menjadi bagian penting dari pertahanan terhadap ancaman siber modern.