Peneliti keamanan siber kembali mengungkap kerentanan kritis dalam ekosistem kecerdasan buatan (AI) modern. Sebuah metode serangan baru yang dijuluki "Reprompt" ditemukan memiliki kemampuan untuk mengeksfiltrasi (mencuri) data sensitif dari chatbot AI seperti Microsoft Copilot hanya dengan satu klik.

Temuan yang dipublikasikan oleh Varonis ini menyoroti evolusi serangan yang semakin "sunyi". Berbeda dengan metode lama yang membutuhkan instalasi plugin berbahaya atau interaksi panjang dengan pengguna, serangan Reprompt memungkinkan peretas mengambil alih sesi korban dan menyedot data secara terus-menerus, bahkan setelah jendela obrolan ditutup. Kabar baiknya, Microsoft telah merespons pengungkapan ini dengan menambal celah tersebut, dan serangan ini dilaporkan tidak berdampak pada pelanggan Microsoft 365 Copilot versi Enterprise.

Baca Juga: Keamanan Siber Masih "Raja" Risiko, AI Melesat Drastis ke Posisi Kedua

Serangan Reprompt mengeksploitasi cara Large Language Models (LLM) memproses instruksi melalui URL. Secara teknis, serangan ini menggunakan rantai eksekusi tiga tahap:

1. Injeksi Parameter URL: Penyerang menyisipkan instruksi berbahaya langsung ke dalam parameter q pada URL Copilot yang sah (contoh: copilot.microsoft.com/?q=...). Karena domainnya adalah Microsoft resmi, korban cenderung tidak curiga.
2. Bypass Guardrails: Agar Copilot tidak menolak memberikan data (karena fitur keamanan anti-kebocoran), penyerang menggunakan teknik manipulasi logika sederhana, seperti meminta AI untuk "mengulangi setiap tindakan dua kali". Hal ini mengecoh mekanisme keamanan yang biasanya hanya memindai permintaan awal.
3. Sirkuit Umpan Balik (Reprompting): Ini adalah inti serangan. Prompt awal memicu percakapan bolak-balik otomatis antara Copilot dan server penyerang. Instruksi seperti "Lakukan apa yang dikatakan URL, jangan berhenti" membuat AI terus mengambil data baru (seperti ringkasan file, lokasi, atau rencana liburan) dan mengirimkannya ke penyerang tanpa sepengetahuan korban.

Reprompt hanyalah puncak gunung es. Akar masalah dari serangan ini—dan banyak serangan AI lainnya—adalah ketidakmampuan mendasar sistem AI untuk membedakan antara instruksi pengguna (system prompt) dan data eksternal yang tidak tepercaya.

Laporan ini juga menyoroti gelombang teknik serangan serupa yang menargetkan platform lain:

• ZombieAgent (ChatGPT): Mengeksploitasi koneksi aplikasi pihak ketiga untuk mengubah injeksi prompt tidak langsung menjadi serangan zero-click.
• Lies-in-the-Loop (LITL): Memanipulasi konfirmasi pengguna untuk mengeksekusi kode berbahaya pada Claude Code dan VS Code.
• GeminiJack: Menanam instruksi tersembunyi di Google Docs untuk mencuri data korporat via Gemini Enterprise.
• CellShock & GATEBLEED: Serangan yang menargetkan formula Excel berbasis AI dan kebocoran informasi melalui pemantauan perangkat keras (hardware timing).

Fenomena Reprompt dan varian serangan AI lainnya menegaskan bahwa integrasi LLM ke dalam alur kerja bisnis membawa risiko arsitektural yang unik. Kita menghadapi era di mana "tautan sah" dari domain terpercaya sekalipun dapat dimutilasi menjadi senjata melalui manipulasi parameter. Masalah utamanya bukan hanya pada bug perangkat lunak, melainkan pada logika dasar bagaimana AI memproses kepercayaan (trust).

Lebih jauh, dalam ekosistem yang saling terhubung, perlindungan data tidak bisa hanya mengandalkan penyedia platform. Melalui layanan konsultasi strategi keamanan, kami menekankan pentingnya membangun lapisan pertahanan tambahan, seperti validasi ketat terhadap input/output AI dan pembatasan hak akses (Least Privilege) pada agen otonom. Selain itu, materi Employee Training harus diperbaharui secara radikal; karyawan perlu dilatih untuk tidak hanya mewaspadai domain asing, tetapi juga memahami risiko berbagi data sensitif dengan asisten digital, serta mengenali tanda-tanda anomali pada perilaku chatbot yang mereka gunakan sehari-hari.