Halaman Web Berbahaya Sedang Membajak Agen AI, Dan Beberapa Di Antaranya Mengincar PayPal Anda

📄Artikel lengkap· Diambil secara otomatis oleh trafilaturaGemini 翻譯5069 kata

Singkatnya - Google mencatat lonjakan 32% dalam serangan malicious indirect prompt injection antara November 2025 dan Februari 2026, yang menargetkan AI agents saat menjelajahi web. - Payload nyata yang ditemukan di lapangan mencakup instruksi transaksi PayPal yang ditentukan sepenuhnya dan disematkan secara tidak terlihat dalam HTML biasa, yang ditujukan bagi agents dengan kemampuan pembayaran. - Belum ada kerangka hukum yang saat ini menentukan tanggung jawab ketika AI agent dengan kredensial sah menjalankan perintah yang ditanamkan oleh situs web pihak ketiga yang berbahaya. Penyerang diam-diam memasang jebakan di halaman web dengan instruksi tak terlihat yang dirancang untuk AI agents, bukan pembaca manusia. Dan menurut tim keamanan Google, masalah ini berkembang pesat. Dalam laporan yang diterbitkan pada 23 April, peneliti Google Thomas Brunner, Yu-Han Liu, dan Moni Pande memindai 2-3 miliar halaman web yang dirayapi per bulan untuk mencari serangan indirect prompt injection—perintah tersembunyi yang disematkan di situs web yang menunggu AI agent membacanya lalu mengikuti perintah tersebut. Mereka menemukan lonjakan 32% dalam kasus berbahaya antara November 2025 dan Februari 2026. Penyerang menyematkan instruksi di halaman web dengan cara yang tidak terlihat oleh manusia: teks yang diperkecil hingga satu piksel, teks yang dibuat hampir transparan, konten yang disembunyikan di bagian komentar HTML, atau perintah yang dikubur dalam metadata halaman. AI membaca HTML lengkapnya. Manusia tidak melihat apa pun. Sebagian besar yang ditemukan Google adalah tingkat rendah—lelucon, manipulasi mesin pencari, upaya untuk mencegah AI agents meringkas konten. Misalnya, ada beberapa prompt yang mencoba menyuruh AI untuk "Tweet like a bird." Namun, kasus-kasus berbahaya adalah cerita yang berbeda. Satu kasus menginstruksikan LLM untuk mengembalikan alamat IP pengguna beserta kata sandi mereka. Kasus lain mencoba memanipulasi AI agar menjalankan perintah yang memformat mesin pengguna AI. Tetapi kasus lainnya hampir bersifat kriminal. Peneliti di firma keamanan siber Forcepoint menerbitkan laporan hampir bersamaan, dan menemukan payload yang melangkah lebih jauh. Satu payload menyematkan transaksi PayPal yang ditentukan sepenuhnya dengan instruksi langkah demi langkah yang menargetkan AI agents dengan kemampuan pembayaran terintegrasi, juga menggunakan teknik jailbreak terkenal “ignore all previous instructions”. Serangan kedua menggunakan teknik yang disebut “meta tag namespace injection” yang dikombinasikan dengan kata kunci penguat persuasi untuk mengarahkan pembayaran yang dimediasi AI menuju tautan donasi Stripe. Serangan ketiga tampaknya dirancang untuk menyelidiki sistem AI mana yang benar-benar rentan—pengintaian sebelum serangan yang lebih besar. Ini adalah inti dari risiko perusahaan. AI agent dengan kredensial pembayaran yang sah, yang menjalankan transaksi yang dibacanya dari situs web, menghasilkan log yang terlihat identik dengan operasi normal. Tidak ada login anomali. Tidak ada brute force. Agent tersebut melakukan persis seperti yang diizinkan untuk dilakukan—hanya saja ia menerima instruksinya dari sumber yang salah. Serangan CopyPasta yang didokumentasikan September lalu menunjukkan bagaimana prompt injections dapat menyebar melalui alat pengembang dengan bersembunyi di dalam file “readme”. Varian finansial adalah konsep yang sama yang diterapkan pada uang alih-alih kode—dan dengan dampak yang jauh lebih tinggi per keberhasilan. Seperti yang dijelaskan Forcepoint, browser AI yang hanya dapat meringkas konten memiliki risiko rendah. Agentic AI yang dapat mengirim email, menjalankan perintah terminal, atau memproses pembayaran adalah kategori target yang sama sekali berbeda. Permukaan serangan berskala dengan hak akses. Baik Google maupun Forcepoint tidak menemukan bukti kampanye terkoordinasi yang canggih. Forcepoint mencatat bahwa templat injeksi bersama di berbagai domain "menunjukkan alat yang terorganisir daripada eksperimen terisolasi"—artinya seseorang sedang membangun infrastruktur untuk ini, meskipun mereka belum sepenuhnya menyebarkannya. Namun Google lebih lugas: Tim peneliti mengatakan mereka memperkirakan skala dan kecanggihan serangan indirect prompt injection akan tumbuh dalam waktu dekat. Peneliti Forcepoint memperingatkan bahwa jendela untuk mengantisipasi ancaman ini menutup dengan cepat. Pertanyaan tentang tanggung jawab adalah hal yang belum dijawab oleh siapa pun. Ketika AI agent dengan kredensial yang disetujui perusahaan membaca halaman web berbahaya dan memulai transfer PayPal yang curang, siapa yang harus bertanggung jawab? Perusahaan yang menyebarkan agent tersebut? Penyedia model yang sistemnya mengikuti instruksi yang disuntikkan? Pemilik situs web yang menampung payload tersebut, baik secara sadar maupun tidak? Tidak ada kerangka hukum yang saat ini mencakup hal ini. Ini adalah area abu-abu meskipun skenarionya tidak lagi teoretis, karena Google menemukan payload tersebut di lapangan

Status data✓ Teks lengkap telah diambilBaca artikel asli (Decrypt)

🔍Peristiwa serupa dalam sejarah· Pencocokan kata kunci + aset2 berita

2026-04-23

Lebih dari 90% game Web3 gagal setelah booming $15 miliar karena gamer tidak pernah muncul: Caladan

Tingkat kemiripan 130%關鍵字 after/web

2026-04-20

Coinbase Mulai Meluncurkan AI Agents yang Dimodelkan Setelah Karyawan ‘Legendaris’

Tingkat kemiripan 130%關鍵字 after/agents

💡 Saat ini menggunakan pencocokan kata kunci + aset (MVP) · Akan ditingkatkan ke pencarian semantik embedding di masa mendatang

Informasi mentah

ID:e03ceb1f02

Sumber:Decrypt

Diterbitkan:2026-04-27 17:12:13

Kategori:Umum · Kategori ekspor neutral

Aset:Tidak ditentukan

Voting komunitas:+0 / −0 · ⭐ 0 Penting · 💬 0 Komentar