Google menolak untuk memperbaiki kerentanan kritis “penyelundupan ASCII”pada Gemini AI-nya, sehingga membuat pengguna rentan terhadap serangan tersembunyi. Peneliti keamanan di FireTail menemukan bahwa penyerang dapat menggunakan karakter Unicode yang tidak terlihat untuk menyematkan perintah berbahaya dalam teks.
Saat pengguna melihat pesan yang tidak berbahaya, Gemini menjalankan instruksi tersembunyi tersebut. Cacat ini sangat berbahaya di Google Workspace, karena memungkinkan spoofing identitas otomatis di undangan Kalender dan email.
Meskipun pesaing seperti OpenAI dan Microsoft telah memperbaiki masalah serupa, Google menolak laporan tersebut. Perusahaan mengklasifikasikannya sebagai rekayasa sosial, bukan bug keamanan. Keputusan ini memaksa perusahaan untuk mempertahankan diri terhadap ancaman yang diketahui dan tidak tanggung-tanggung.
Hantu dalam Mesin: Cara Kerja Penyelundupan ASCII
The serangan, sebuah teknik yang dikenal sebagai penyelundupan ASCII, berakar pada penyalahgunaan standar Unicode yang cerdik. Metode ini mengeksploitasi perbedaan mendasar antara apa yang dilihat pengguna di layar dan data mentah yang diproses oleh model AI.
Metode ini menggunakan sekumpulan karakter khusus yang tidak terlihat dari Blok Tag Unicode untuk menyematkan instruksi tersembunyi di dalam string teks yang tampaknya tidak berbahaya, sehingga menciptakan vektor yang kuat untuk injeksi cepat dan peracunan data.
Karakter khusus ini biasanya tidak ditampilkan di antarmuka pengguna. Menurut Standar Teknis Unicode, implementasi yang sepenuhnya tidak mengetahui tag akan menampilkan rangkaian karakter tag sebagai tidak terlihat. Hal ini menciptakan kamuflase yang sempurna bagi penyerang.
Meskipun pengguna manusia hanya melihat teks yang tidak bersalah dan terlihat, aliran data mentah yang mendasarinya berisi muatan berbahaya yang tersimpan di dalam karakter non-cetak ini.
Namun, Model Bahasa Besar (LLM) tidak mengalami kesulitan dalam menafsirkan perintah tersembunyi ini. Berbeda dengan antarmuka pengguna, pra-pemroses masukan LLM dirancang untuk menyerap string mentah, termasuk setiap karakter, untuk mendukung standar internasional.
Karena tag Unicode ini ada dalam data pelatihannya yang sangat besar, model seperti Gemini dapat membaca dan menindaklanjutinya sama seperti teks lainnya. Teknik ini memungkinkan penyerang untuk menambahkan teks ASCII sembarang ke emoji atau karakter lain, sehingga secara efektif menyelundupkan perintah rahasia melewati peninjau manusia mana pun.
Hasilnya adalah kelemahan logika aplikasi yang kritis. LLM menyerap masukan mentah yang tidak tepercaya dan menjalankan perintah tersembunyi, sementara pengguna manusia, yang hanya melihat versi yang sudah disterilkan di UI, tetap sama sekali tidak menyadari adanya manipulasi.
Kesenjangan antara persepsi manusia dan pemrosesan mesin adalah inti dari kerentanan, mengubah keunikan UI menjadi risiko keamanan yang serius, seperti yang telah berulang kali ditunjukkan oleh para peneliti.
Dari Kalender Pemalsuan hingga Keracunan Data
Implikasinya terhadap sistem AI agen sangat parah. Peneliti FireTail Viktor Markopoulos mendemonstrasikan bagaimana penyerang dapat mengirim undangan Google Kalender dengan muatan tersembunyi. Payload ini dapat menimpa detail penyelenggara, memalsukan identitas, atau menyisipkan tautan berbahaya.
Google Gemini, yang bertindak sebagai asisten pribadi, memproses data beracun ini tanpa interaksi pengguna apa pun selain menerima undangan. Serangan tersebut melewati gerbang keamanan “Terima/Tolak”yang umum, tanpa disadari mengubah AI menjadi kaki tangan.
Ancaman meluas ke sistem mana pun di mana LLM merangkum atau mengagregasi teks yang dikirimkan pengguna. Misalnya, ulasan produk dapat berisi perintah tersembunyi yang memerintahkan AI untuk menyertakan tautan ke situs web penipuan dalam ringkasannya, sehingga secara efektif meracuni konten untuk semua pengguna.
Risikonya semakin besar bagi pengguna yang menghubungkan LLM ke kotak masuk email mereka. Seperti yang dijelaskan Markopoulos, “bagi pengguna dengan LLM yang terhubung ke kotak masuk mereka, email sederhana dengan perintah tersembunyi dapat memerintahkan LLM untuk mencari item sensitif di kotak masuk atau mengirim detail kontak, sehingga mengubah upaya phishing standar menjadi alat ekstraksi data yang otonom.”
Hal ini mengubah upaya phishing standar menjadi pelanggaran data otomatis yang jauh lebih berbahaya.
Kelemahan yang Belum Ditambal: Sikap Google vs. Industri
Investigasi FireTail telah mengungkapkan kesenjangan yang jelas dalam kesiapan industri. Meskipun Google Gemini, Grok xAI, dan DeepSeek semuanya ditemukan rentan, namun pemain besar lainnya tidak. Model dari OpenAI, Microsoft, dan Anthropic tampaknya telah menerapkan sanitasi input yang mengurangi ancaman tersebut.
Setelah Markopoulos melaporkan temuan tersebut ke Google pada tanggal 18 September, perusahaan tersebut mengabaikan masalah tersebut. Mereka berpendapat bahwa serangan tersebut didasarkan pada rekayasa sosial, sebuah sikap yang menuai kritik karena meremehkan eksploitasi teknis pada intinya.
Posisi ini sangat kontras dengan posisi raksasa teknologi lainnya. Amazon, misalnya, telah menerbitkan panduan keamanan terperinci tentang cara melindungi diri dari penyelundupan karakter Unicode, dan mengakuinya sebagai vektor ancaman yang sah.
Penolakan Google untuk mengambil tindakan membuat pelanggan perusahaannya berada dalam posisi yang berbahaya. Tanpa adanya patch, organisasi yang menggunakan Gemini dalam Google Workspace kini secara sadar terkena metode canggih yang meracuni data dan spoofing identitas.
