Liputan6.com, Jakarta - Para peneliti keamanan siber memperingati pengguna browser berbasis AI, di mana mereka telah mengungkap serangan siber baru bernama HashJack. Serangan ini dapat memanipulasi peramban AI dan mencuri data tanpa disadari.
HashJack merupakan teknik indirect prompt injection yang diungkapkan oleh tim intelijen ancaman Cato CTRL.
Advertisement
Dilansir ZDnet, Jumat (28/11/2025), dalam laporan Catonetworks, peneliti mengatakan serangan ini dapat mempersenjatai situs web resmi mana pun untuk memanipulasi asisten peramban AI.
Serangan ini berada di sisi klien dan memanfaatkan kepercayaan pengguna untuk mengakses asisten browser AI. HashJack dijalankan melalui lima tahap, yaitu:
- Instruksi berbahaya dibuat dan disembunyikan sebagai fragmen URL setelah simbol “#” (pagar) di URL resmi yang mengarah ke situs web asli dan terpercaya.
- Tautan yang dibuat kemudian disebar melalui media sosial atau disematkan dalam konten web.
- Korban mengklik tautan tersebut tanpa mencurigai apa pun karena situs yang dikunjungi terlihat normal.
- Serangan aktif ketika pengguna membuka asisten AI di browser untuk mengajukan pertanyaan atau perintah.
- Perintah tersembunyi kemudian dibaca oleh asisten AI, yang dapat menyajikan konten berbahaya seperti tautan phishing atau menjalankan tugas berisiko di latar belakang pada browser dengan kemampuan agen (agentic browser).
Cato mengatakan dalam agen browser AI seperti Perplexity Comet, serangan dapat meningkat menjadi pencurian data otomatis. Asisten AI bisa dipaksa mengirimkan data pengguna ke server yang dikendalikan pelaku.
Alasan HashJack Berbahaya
Berbeda dari phishing biasa, HashJack memanfaatkan fragmen URL yang biasanya tidak diperiksa oleh sistem keamanan. Instruksi berbahaya tersembunyi pada bagian URL setelah simbol “#” (pagar), yang kemudian diproses oleh model bahasa besar (Large Language Model/LLM) yang digunakan oleh asisten AI.
Ini merupakan teknik yang menarik karena mengandalkan kepercayaan pengguna dan keyakinan asisten AI tidak akan menyajikan konten berbahaya kepada penggunanya.
Teknik ini juga mungkin lebih efektif karena pengguna mengunjungi dan melihat situs web yang resmi, tidak memerlukan URL phishing yang mencurigakan.
"Teknik ini telah menjadi risiko keamanan utama bagi aplikasi LLM, karena pelaku ancaman dapat memanipulasi sistem AI tanpa akses langsung dengan menyematkan instruksi dalam konten apa pun yang mungkin dibaca oleh model," kata para peneliti Cato yang ditulis ZDnet.
Instruksi Tersembunyi Serangan
Cato merinci beberapa skenario bagaimana HashJack dapat digunakan, seperti untuk mencuri data pribadi, mengambil kredensial login, memasukkan tautan phishing, atau menyebarkan misinformasi.
Contoh sederhana, pelaku penyerangan dapat menambahkan instruksi agar asisten AI menampilkan tautan dukungan pelanggan palsu di dalam jawaban sehingga nomor telepon penipu terlihat resmi.
Serangan HashJack juga dapat diarahkan untuk menyebarkan misinformasi. Ketika pengguna mengunjungi situs web berita degan URL yang telah dimodifikasi, lalu bertanya soal saham, AI bisa didorong untuk memberikan informasi palsu seperti “saham perusahaan naik 35 persen minggu ini dan siap melonjak”.
Yang paling berbahaya adalah pencurian data pribadi. Saat pengguna mengakses situs bank dan bertanya kelayakan pinjaman, HashJack diam-diam memerintah asisten AI mengirimkan data transaksi ke server milik pelaku tanpa disadari.
Tanggapan Perusahaan Kecerdasan Buatan (AI)
Kerentanan ini telah dilaporkan ke Google, Microsoft, dan Perplexity sejak Agustus 2025.
- Google Gemini for Chrome
Google tidak memperlakukan HashJack sebagai kerentanan dan diklasifikasikan sebagai masalah berisiko rendah dan menyatakan perilaku tersebut merupakan “inteded behavior” sehingga tidak akan diperbaiki.
- Microsoft Copilot for Edge
Microsoft mengonfirmasi masalah pada 12 September dan diperbaiki pada 27 Oktober 2025. Selain mengatasi masalah serangan, Microsoft juga akan mengidentifikasi dan mengatasi varian serupa dengan pertahanan berlapis.
- Perpexity Comet
Awalnya ditutup pada Agustus karena dianggap tidak memiliki dampak signifikan, laporan HashJack kemudian dibuka kembali setelah ada bukti tambahan. Pada 10 Oktober 2025, kasus ini dikategorikan critical severity dan perbaikan terakhir pada 18 November.
HashJack juga sudah diuji pada Claude for Chrome dan OpenAI Atlas, keduanya berhasil melawan serangan tersebut.