Artikel Terbaru

Waspada! Celah ShadowLeak di ChatGPT Curi Gmail Tanpa Klik

Ilustrasi e-mail

Ilustrasi e-mail

Para peneliti keamanan baru-baru ini mengungkap sebuah celah berbahaya pada fitur agen Deep Research milik ChatGPT yang dinamai ShadowLeak. Celah ini memungkinkan penyerang mencuri isi kotak masuk Gmail korban hanya dengan mengirim satu email yang dirancang khusus—tanpa korban perlu membuka, meng-klik, atau melakukan tindakan apa pun. Temuan ini mengejutkan karena memanfaatkan cara agen AI membaca dan menafsirkan konten, bukan kelemahan tradisional pada perangkat atau aplikasi email.

 

Cara Kerja ShadowLeak

Intinya, ShadowLeak memanfaatkan teknik yang disebut indirect prompt injection yaitu menyisipkan perintah tersembunyi di dalam konten email. Perintah tersebut disamarkan menggunakan trik HTML/CSS seperti teks putih di atas latar putih, font yang sangat kecil, atau tata letak yang membuat perintah tersebut tidak terlihat oleh pengguna manusia. Meski tak terlihat, agen Deep Research tetap “membaca” isi HTML itu ketika melakukan analisis pesan.

Langkah serangan secara singkat:

  • Penyerang mengirim email yang tampak biasa, namun berisi instruksi tersembunyi di HTML.
  • Korban mengaktifkan integrasi Gmail dengan ChatGPT (fitur yang memungkinkan ChatGPT membaca dan menganalisis email).
  • Ketika korban meminta Deep Research untuk menganalisis email atau kotak masuknya, agen itu juga membaca instruksi tersembunyi pada email jahat.
  • Instruksi tersebut memerintahkan agen untuk mengumpulkan data sensitif dari pesan lain di inbox dan mengirimkannya ke server penyerang, misalnya dengan memanggil fungsi browser.open() dan menaruh data yang sudah dikodekan (Base64) pada URL.

Radware melaporkan kerentanan ini secara bertanggung jawab pada 18 Juni 2025. OpenAI menutup celah tersebut pada awal Agustus 2025 setelah penyelidikan dan perbaikan.

 

Mengapa ini Berbahaya

Ada beberapa alasan mengapa ShadowLeak sangat mengkhawatirkan:

  • Tanpa-klick (zero-click): Korban tidak perlu membuka atau meng-klik apa pun. Cukup email masuk dan integrasi aktif.
  • Terjadi di cloud: Kebocoran berlangsung di infrastruktur cloud OpenAI, bukan di perangkat pengguna. Artinya, solusi keamanan tradisional di sisi perusahaan atau endpoint mungkin tidak mendeteksi aktivitas ini.
  • Permukaan serangan besar: Walau bukti konsep (PoC) menggunakan Gmail, tekniknya dapat diterapkan ke konektor lain yang didukung ChatGPT—seperti Google Drive, Dropbox, Outlook, Notion, SharePoint, GitHub, dan lain-lain. Ini berarti banyak layanan yang terhubung berpotensi menjadi sumber kebocoran.
  • Sosial-teknis dan teknis: Teknik ini memadukan manipulasi konten (sosial/linguistik) dengan pemanfaatan fungsi teknis agen (mis. browser.open()), sehingga lebih sulit diprediksi.

 

Perbandingan dengan Serangan Sebelumnya

Peneliti menekankan bahwa ShadowLeak berbeda dari serangan sebelumnya seperti AgentFlayer atau EchoLeak. Serangan-serangan itu biasanya memicu kebocoran di sisi klien (perangkat pengguna) atau lewat rendering gambar. ShadowLeak, sebaliknya, melakukan eksfiltrasi langsung dari cloud OpenAI dan melewati kontrol keamanan yang biasanya fokus pada jaringan dan titik akhir.

 

Demonstrasi Lain: ChatGPT dan CAPTCHA

Selain kasus ShadowLeak, ada juga demonstrasi terpisah dari platform keamanan SPLX yang menunjukkan bagaimana context poisoning (pemalsuan konteks) bisa membuat agen ChatGPT memecahkan CAPTCHA — termasuk CAPTCHA berbasis gambar.

Caranya: peneliti memasukkan percakapan awal yang menandai CAPTCHA sebagai “palsu”, lalu memindahkan konteks itu ke obrolan agen sehingga model mempertimbangkan bahwa ia sudah diizinkan melanjutkan. Hasilnya, model berusaha menyusun rencana dan bahkan meniru perilaku manusia (mis. memindahkan kursor) untuk “memecahkan” tes tersebut.

Temuan ini menekankan bahwa agen AI bisa dipengaruhi lewat konteks dan histori percakapan, bukan hanya instruksi langsung yang terlihat.

 

Implikasi untuk Pengguna dan Perusahaan

  • Hati-hati saat mengaktifkan integrasi: Menghubungkan akun Gmail, Drive, atau layanan lain ke agen AI membawa risiko tambahan. Pertimbangkan manfaat vs risiko sebelum mengaktifkannya, terutama pada akun yang memuat informasi sensitif.
  • Kontrol akses dan audit: Organisasi harus mengawasi aplikasi pihak ketiga dan integrasi cloud. Audit pemakaian API, log akses, dan aktivitas agen perlu diperketat.
  • Penyaringan konten yang lebih canggih: Karena serangan memanfaatkan HTML/CSS tersembunyi, solusi keamanan perlu mampu memeriksa konten ter-render dan mendeteksi elemen berbahaya, bukan hanya teks kasar.
  • Pembaruan dari penyedia layanan: Penyedia layanan agen AI (seperti OpenAI) harus terus memperbaiki cara agen menafsirkan input, menambah lapisan validasi sebelum menjalankan perintah yang melibatkan akses data atau pengiriman eksternal.
  • Red teaming berkelanjutan: Perusahaan perlu melakukan uji penyerangan internal terus-menerus (continuous red teaming) untuk menemukan cara-cara baru agen dipengaruhi.

ShadowLeak adalah pengingat kuat bahwa kemampuan otomatisasi dan integrasi AI membawa manfaat besar, namun juga risiko baru yang unik. Kemampuan agen untuk “membaca” konten yang tidak terlihat oleh manusia membuat model AI menjadi titik rentan yang butuh proteksi berbeda dari teknologi tradisional.

Untuk pengguna, langkah paling aman saat ini adalah meninjau dan membatasi integrasi akun sensitif dengan agen AI, sementara organisasi dan penyedia teknologi perlu bekerja sama untuk menetapkan kontrol, validasi konteks, dan pengujian keamanan yang lebih ketat.

Jika Anda menggunakan integrasi ChatGPT dengan Gmail atau layanan lain, sebaiknya periksa pengaturan integrasi Anda sekarang—matikan yang tidak perlu, dan pastikan pembaruan keamanan dari penyedia layanan sudah terpasang.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait