Di era digital yang serba cepat ini, kecerdasan buatan (AI) telah merambah ke setiap aspek teknologi — mulai dari sistem operasi, paket aplikasi perkantoran, editor gambar, hingga aplikasi percakapan seperti ChatGPT, Bard, dan berbagai ekstensi yang mengiringinya. Pertumbuhan eksponensial aplikasi, layanan, dan plug-in AI pada tahun lalu menunjukkan tren yang akan terus membesar. Aplikasi perkantoran, editor gambar, hingga lingkungan pengembangan terintegrasi (IDE) seperti Visual Studio kini semakin sering mengintegrasikan AI ke dalam alat-alat yang telah lama kita gunakan. Ribuan aplikasi baru yang memanfaatkan model AI terbesar sedang dikembangkan oleh para pengembang. Namun, belum ada yang berhasil menangani secara penuh masalah keamanan yang melekat, seperti mengurangi kebocoran data rahasia dan mengatasi masalah peretasan akun/perangkat melalui berbagai alat AI, apalagi menciptakan perlindungan yang memadai terhadap AI yang berpotensi merugikan di masa depan. Sampai solusi siap pakai untuk melindungi pengguna asisten AI ditemukan, Anda harus mempelajari beberapa keterampilan untuk melindungi diri sendiri.

Bagaimana Cara Menggunakan AI Tanpa Menyesal di Kemudian Hari?

Menyaring Data Penting

Kebijakan privasi OpenAI, pengembang ChatGPT, secara jelas menyatakan bahwa semua dialog dengan chatbot disimpan dan dapat digunakan untuk berbagai tujuan. Ini termasuk menyelesaikan masalah teknis dan mencegah pelanggaran ketentuan layanan, seperti pembuatan konten yang tidak pantas. Dialog bisa saja ditinjau oleh manusia. Selain itu, data dapat digunakan untuk melatih versi GPT baru dan membuat “peningkatan” produk lainnya.

Model bahasa populer lainnya — seperti Bard dari Google, Claude dari Anthropic, atau Bing dan Copilot dari Microsoft — memiliki kebijakan serupa: mereka semua dapat menyimpan dialog secara keseluruhan.

Meskipun demikian, telah terjadi insiden di mana pengguna secara tidak sengaja melihat percakapan milik orang lain akibat dari bug dalam perangkat lunak. Situasi ini menimbulkan potensi kebocoran data pribadi karena informasi tersebut dapat digunakan dalam pelatihan model AI berikutnya. Dalam beberapa kasus, asisten AI dapat secara keliru membagikan informasi pribadi Anda kepada pengguna lain jika dianggap relevan untuk memberikan jawaban. Lebih lanjut, para ahli keamanan informasi sudah mengembangkan berbagai metode serangan dengan tujuan untuk mencuri percakapan ini. Kegiatan ini menunjukkan bahwa upaya untuk mengeksploitasi celah keamanan ini kemungkinan akan terus berlanjut.

Oleh karena itu, ingat: apapun yang Anda tulis ke chatbot bisa digunakan menyerang Anda. Kami menyarankan untuk berhati-hati saat berbicara dengan AI.

• Jangan mengirimkan data pribadi ke chatbot.

Tidak ada kata sandi, nomor paspor atau kartu bank, alamat, nomor telepon, nama, atau data pribadi lainnya yang berkaitan dengan Anda, perusahaan Anda, atau pelanggan Anda yang harus berakhir di chat dengan AI. Anda dapat menggantikannya dengan tanda bintang atau “REDACTED” dalam permintaan Anda.

• Jangan mengunggah dokumen apa pun.

Penggunaan plug-in dan ekstensi memberi kemudahan dalam mengelola dokumen via chatbot, termasuk untuk membuat ringkasan eksekutif dari dokumen kerja. Namun, mengunggah dokumen tanpa hati-hati dapat berakibat pada kebocoran informasi penting seperti data rahasia perusahaan, hak kekayaan intelektual, atau detail sensitif lainnya seperti tanggal peluncuran produk atau gaji karyawan. Situasi ini bisa menjadi lebih riskan ketika dokumen dari sumber luar diproses, yang bisa membuka peluang bagi penyerang untuk memanfaatkan kelemahan ini melalui model bahasa yang digunakan.

• Gunakan pengaturan privasi.

Periksalah kebijakan privasi dan opsi pengaturan yang ditawarkan oleh penyedia layanan model bahasa besar (LLM) dengan teliti, karena ini seringkali memberikan kesempatan untuk mengurangi jejak digital Anda. Sebagai contoh, OpenAI memberikan pilihan untuk menonaktifkan fitur penyimpanan histori percakapan. Apabila fitur ini dinonaktifkan, data Anda akan dihapus setelah periode 30 hari dan tidak akan digunakan sebagai bahan pelatihan. Untuk pengguna yang mengakses layanan OpenAI melalui API, aplikasi pihak ketiga, atau layanan lainnya, pengaturan ini umumnya sudah diaktifkan secara otomatis.

• Mengirimkan kode?

Pastikan untuk menghapus informasi sensitif terlebih dahulu. Saran ini khusus bagi para pengembang perangkat lunak yang memanfaatkan asisten AI dalam memeriksa dan menyempurnakan kode mereka: singkirkan seluruh kunci API, alamat server, dan detail lainnya yang berpotensi membuka rahasia struktur aplikasi atau pengaturan server Anda.

Batasi Penggunaan Aplikasi Pihak Ketiga dan Plug-in

Selalu terapkan saran-saran di atas, tidak tergantung pada jenis asisten AI yang Anda gunakan. Namun, upaya tersebut mungkin belum cukup untuk sepenuhnya melindungi privasi Anda. Penggunaan plug-in untuk ChatGPT, ekstensi Bard, atau aplikasi tambahan lainnya membuka pintu bagi ancaman keamanan baru.

Pertama, histori percakapan Anda kini berpotensi tersimpan tidak hanya pada server OpenAI atau Google, tetapi juga pada server milik pihak ketiga yang menyediakan plug-in atau ekstensi tersebut, bahkan mungkin di tempat yang tidak Anda duga pada komputer atau smartphone Anda.

Kedua, banyak plug-in yang menarik data dari sumber luar, seperti hasil pencarian internet, kotak masuk Gmail, atau catatan pribadi dari layanan seperti Notion, Jupyter, atau Evernote. Ini berarti data Anda dari layanan-layanan tersebut dapat berakhir di server dimana plug-in atau model bahasa beroperasi. Integrasi semacam ini mengundang risiko signifikan; contohnya, ada serangan yang mampu membuat repository GitHub baru atas nama pengguna.

Ketiga, proses penerbitan dan verifikasi plug-in untuk asisten AI saat ini jauh dari terorganisir dengan baik, jika dibandingkan dengan proses verifikasi aplikasi di App Store atau Google Play. Akibatnya, ada kemungkinan besar Anda akan menemukan plug-in yang tidak berfungsi dengan baik, dibuat secara asal, bermasalah, atau bahkan berbahaya — terutama karena tampaknya tidak ada pemeriksaan menyeluruh terhadap pengembang atau kontak mereka.

Bagaimana Anda memitigasi risiko ini? Saran utama kami di sini adalah memberikan waktu. Ekosistem plug-in terlalu muda, proses publikasi dan dukungan belum cukup mulus, dan para penciptanya sendiri tidak selalu berhati-hati dalam merancang plug-in dengan baik atau mematuhi persyaratan keamanan informasi. Seluruh ekosistem ini membutuhkan lebih banyak waktu untuk matang dan menjadi lebih aman serta lebih dapat diandalkan.

Selain itu, nilai yang banyak plug-in dan ekstensi tambahkan ke versi ChatGPT stok minimal: penyesuaian UI kecil dan template “prompt sistem” yang menyesuaikan asisten untuk tugas spesifik (“Bertindak sebagai guru fisika sekolah menengah…”). Pembungkus ini tentu saja tidak layak untuk dipercaya dengan data Anda, karena Anda dapat menyelesaikan tugas dengan baik tanpa mereka.

Jika Anda memang membutuhkan fitur plug-in tertentu di sini dan sekarang, cobalah untuk mengambil tindakan pencegahan maksimum yang tersedia sebelum menggunakannya.

• Pilih ekstensi dan ekstensi yang telah ada selama beberapa bulan dan diperbarui secara teratur.
• Pertimbangkan hanya plug-in yang memiliki banyak unduhan, dan baca dengan cermat ulasan untuk setiap masalah.
• Jika plug-in dilengkapi dengan kebijakan privasi, baca dengan cermat sebelum Anda mulai menggunakan ekstensi.
• Pilih alat sumber terbuka.
• Jika Anda memiliki keterampilan pemrograman dasar — atau teman pengkode — lihat kode untuk memastikan bahwa hanya mengirimkan data ke server yang dinyatakan dan, idealnya, hanya server model AI.

Plug-in Eksekusi Memerlukan Pemantauan Khusus

Sejauh ini, kita telah membahas risiko yang berkaitan dengan kebocoran data; tetapi ini bukan satu-satunya masalah potensial saat menggunakan AI. Banyak plug-in mampu melakukan tindakan spesifik atas perintah pengguna — seperti memesan tiket pesawat. Alat-alat ini memberikan aktor jahat vektor serangan baru: korban disajikan dengan dokumen, halaman web, video, atau bahkan gambar yang berisi instruksi tersembunyi untuk model bahasa selain konten utama. Jika korban memberi makan dokumen atau tautan ke chatbot, yang terakhir akan menjalankan instruksi jahat — misalnya, dengan membeli tiket dengan uang korban. Jenis serangan ini disebut sebagai injeksi prompt, dan meskipun para pengembang berbagai LLM mencoba mengembangkan perlindungan terhadap ancaman ini, belum ada yang berhasil — dan mungkin tidak akan pernah berhasil.

Untungnya, sebagian besar tindakan signifikan — terutama yang melibatkan transaksi pembayaran seperti pembelian tiket — memerlukan konfirmasi ganda. Namun, interaksi antara model bahasa dan plug-in menciptakan permukaan serangan yang begitu luas sehingga sulit untuk menjamin hasil yang konsisten dari langkah-langkah ini.

Oleh karena itu, Anda perlu sangat teliti dalam memilih alat AI dan juga memastikan bahwa mereka hanya menerima data terpercaya untuk diproses.

Strategi Keamanan Siber untuk Penggunaan AI yang Aman

Dalam menghadapi tantangan keamanan ini, penting bagi pengguna AI untuk mengadopsi strategi keamanan siber yang komprehensif. Ini meliputi:

1. Penggunaan Sandi yang Kuat dan Otentikasi Multi-Faktor: Pastikan semua akun yang terkait dengan penggunaan AI dilindungi dengan sandi yang kuat dan, jika mungkin, otentikasi multi-faktor. Ini akan membantu melindungi terhadap akses tidak sah.
2. Pembaruan Perangkat Lunak Teratur: Selalu perbarui aplikasi AI, plug-in, dan sistem operasi Anda ke versi terbaru. Pembaruan ini seringkali memperbaiki kerentanan keamanan yang dapat dimanfaatkan oleh penyerang.
3. Edukasi dan Kesadaran Keamanan: Tingkatkan kesadaran keamanan Anda dan tim Anda tentang potensi risiko keamanan yang terkait dengan penggunaan AI. Edukasi tentang praktik terbaik dalam keamanan siber dan cara mengenali serta menghindari serangan phishing atau serangan siber lainnya.
4. Backup dan Pemulihan Data: Pastikan Anda memiliki backup data yang aman dan strategi pemulihan untuk mengatasi potensi kehilangan data atau serangan siber yang berhasil.
5. Penggunaan VPN dan Enkripsi: Gunakan Virtual Private Networks (VPN) dan enkripsi untuk melindungi data sensitif yang dikirim dan diterima saat menggunakan aplikasi AI, terutama saat terhubung ke jaringan Wi-Fi publik.
6. Pemantauan dan Analisis Keamanan: Terapkan solusi keamanan yang mampu memantau dan menganalisis lalu lintas jaringan untuk mendeteksi aktivitas mencurigakan yang mungkin menunjukkan serangan siber.
7. Kolaborasi dengan Komunitas Keamanan: Terlibat dalam komunitas keamanan siber untuk tetap terinformasi tentang ancaman terbaru dan berbagi praktik terbaik dalam menghadapi tantangan keamanan yang berkembang.

Dalam menghadapi tantangan keamanan yang kompleks di era AI saat ini, memastikan perlindungan yang kuat terhadap aset digital Anda menjadi prioritas utama. Jika Anda ingin menggali lebih dalam mengenai bagaimana meningkatkan keamanan siber organisasi Anda melalui penetration testing atau layanan keamanan ofensif lainnya, Fourtrezz siap menjadi mitra strategis Anda. Kami menawarkan solusi keamanan siber yang tidak hanya efektif tetapi juga disesuaikan untuk memenuhi kebutuhan spesifik organisasi Anda, dengan wawasan mendalam dan pendekatan proaktif dalam melindungi aset digital Anda dari ancaman siber yang terus berkembang.

Fourtrezz mengerti pentingnya menjaga keamanan informasi dan menawarkan strategi keamanan yang terintegrasi untuk melawan potensi risiko keamanan yang ditimbulkan oleh teknologi AI dan plug-in. Kami mengundang Anda untuk berdiskusi lebih lanjut tentang bagaimana kami dapat membantu memperkuat pertahanan siber organisasi Anda.

Jangan biarkan organisasi Anda rentan terhadap serangan siber. Hubungi kami hari ini melalui WhatsApp di 0857-7771-7243 atau kirimkan email ke [email protected] untuk mendapatkan konsultasi gratis. Mari kita pastikan keamanan siber organisasi Anda berada di tangan yang tepat dengan Fourtrezz, pemimpin dalam solusi keamanan siber yang efektif.