Beranda / owasp llm

Reddit Post mencuri OTP lewat agentic browser

webmaster


Ketika Reddit Post Bisa Mencuri OTP: Pelajaran dari Brave tentang Agentic Browser

Beberapa hari lalu, tim riset Brave mempublikasikan temuan menarik tentang celah keamanan serius pada Perplexity Comet, sebuah “agentic browser” yang memanfaatkan AI untuk mengeksekusi instruksi pengguna.

Mereka mendemonstrasikan serangan indirect prompt injection yang sederhana namun berdampak fatal.

Bagaimana Serangannya Bekerja?

  1. Konteks awal: Seorang pengguna meminta Comet untuk meringkas sebuah thread di Reddit.
  2. Jebakan tersembunyi: Di balik spoiler tag pada postingan Reddit, penyerang menyisipkan instruksi tersembunyi.
  3. AI menuruti: Karena Comet tidak membedakan instruksi asli pengguna dan instruksi dari konten situs, ia mengeksekusi perintah jahat tersebut.
  4. Alur eksekusi:
    • Membuka halaman login Perplexity pengguna.
    • Memicu pengiriman OTP ke Gmail.
    • Mengakses Gmail (karena sesi login sudah ada).
    • Membaca OTP lalu mempostingnya kembali ke Reddit.

Hasilnya: kredensial korban terekspos, akun Perplexity diambil alih.

Kenapa Ini Berbahaya?

Biasanya, CORS dan same-origin policy di browser mencegah sebuah situs mengakses data situs lain.
Namun dalam kasus ini, AI agent bertindak atas nama pengguna, melompati semua batasan domain.

Artinya: data di internet untuk AI bukan sekadar data, tapi bisa jadi “kode eksekusi terselubung.”

Klasifikasi Menurut OWASP

Jika kita mapping ke kategori OWASP, serangan ini masuk ke beberapa area kritis:

  1. A01:2021 – Broken Access Control

    • AI agent memperoleh akses ke Gmail dan Perplexity, padahal instruksi berasal dari konten tidak tepercaya (Reddit).
    • Kontrol akses “terbuka” karena AI tidak bisa membedakan instruksi sah dan instruksi palsu.

  2. A03:2021 – Injection

    • Sama seperti SQL injection atau XSS, di sini yang di-“inject” adalah prompt tersembunyi dalam teks.
    • Prompt injection ini mengubah alur eksekusi agent tanpa sepengetahuan pengguna.

  3. A05:2021 – Security Misconfiguration

    • Perplexity Comet memberikan agent akses otomatis ke domain sensitif (login, email) tanpa pembatasan granular.
    • Konfigurasi minim kontrol inilah yang membuat dampak serangan melebar lintas domain.

  4. A07:2021 – Identification and Authentication Failures

    • OTP seharusnya jadi lapisan keamanan ekstra. Tapi karena AI bisa membaca email OTP, lapisan ini runtuh.
    • Identitas pengguna tidak lagi terjaga ketika AI agent ikut campur dalam proses login.

  5. A08:2021 – Software and Data Integrity Failures

    • Konten yang diambil dari Reddit dianggap “data” tapi ternyata membawa instruksi berbahaya.
    • Tidak ada mekanisme validasi integritas antara data yang dibaca dan perintah yang dijalankan.

Bagaimana Mitigasinya?

Brave memberi beberapa rekomendasi penting:

  • Pisahkan instruksi pengguna dengan konten situs → AI hanya boleh mengeksekusi perintah yang eksplisit datang dari user.
  • Minimalkan izin agent → akses ke email, OTP, atau halaman login harus diproteksi, tidak boleh otomatis.
  • Filtering & sanitasi konten → treat semua teks dari web seperti input berbahaya.
  • Audit & logging → catat instruksi yang dijalankan untuk deteksi anomali.

Penutup

Kasus ini jadi pengingat bahwa AI agentic system menghadirkan paradigma baru keamanan siber. Kalau dulu serangan injection menyasar database atau browser, kini ia menyasar otak AI yang “patuh” menjalankan instruksi dari teks biasa.

Dan ketika agen ini diberi akses penuh ke akun, email, bahkan keuangan, risiko yang muncul bukan sekadar bug teknis—tapi bisa berubah menjadi runtuhnya batas keamanan klasik di web.