Bayangkan sebuah pesan teks biasa masuk ke ponsel Anda. Tanpa Anda sentuh, tanpa Anda buka, pesan itu sudah cukup untuk memberi perintah pada asisten virtual agar menguping ruangan atau membuka pintu rumah. Ini bukan skenario film fiksi ilmiah. Inilah yang berhasil dibuktikan oleh peneliti SafeBreach Labs pada Google Gemini versi Android.
SafeBreach menemukan teknik bernama Fake Context Alignment, varian dari serangan Indirect Prompt Injection. Alih-alih mengetik perintah langsung ke jendela prompt AI, pelaku menyembunyikan instruksi jahat di dalam konten yang akan dibaca oleh sistem — dalam kasus ini, notifikasi dari aplikasi seperti WhatsApp, Slack, atau SMS.
Karena Gemini dirancang untuk memindai notifikasi masuk agar bisa memberikan respons kontekstual, sistem secara otomatis menelan teks dari pemberitahuan tersebut. SafeBreach menemukan bahwa dengan menyusun teks secara hati-hati — kadang menyembunyikannya dalam bahasa asing atau tautan yang tidak terlihat — mereka bisa menipu Gemini agar menganggap instruksi berbahaya itu sebagai bagian dari percakapan pengguna yang sah.
Setelah Gemini menelan notifikasi yang sudah diracuni, peneliti bisa memaksa asisten tersebut menjalankan serangkaian tugas tanpa memberi peringatan visual atau audio kepada pemilik ponsel.
Satu skenario paling licik: serangan memanfaatkan celah waktu. Karena asisten suara dirancang untuk membuka mikrofon setelah berbicara dan menunggu balasan, peneliti memerintahkan Gemini untuk diam dan baru menjalankan aksi beberapa jam kemudian — saat pengguna mengucapkan kata polos seperti "Makasih".
Kabar baiknya, SafeBreach mengikuti protokol pengungkapan yang bertanggung jawab. Mereka melaporkan kerentanan ini secara tertutup ke Google, dan raksasa teknologi itu sudah menerapkan tambalan di sisi server dengan meningkatkan content classifier untuk memblokir bentuk manipulasi konteks spesifik ini. SafeBreach juga menegaskan tidak ada bukti teknik ini pernah digunakan oleh peretas di dunia nyata.
Tapi masalah yang lebih dalam tidak hilang begitu saja. Ini bukan celah kode biasa di WhatsApp atau Signal. Ini adalah tantangan arsitektural yang melekat pada cara kerja sistem AI agenik modern. Semakin banyak kekuasaan yang diberikan pada asisten virtual — membaca email, memonitor layar, mengelola jadwal, mengendalikan sistem operasi — semakin besar potensi ledakan dari satu serangan prompt injection.
Bagi pengguna Android di Indonesia, langkah perlindungan paling praktis saat ini adalah mengaudit izin aplikasi Gemini. Buka pengaturan Android, cari izin Gemini, dan pertimbangkan untuk menonaktifkan aksesnya ke notifikasi sistem. Selama celah arsitektural ini belum tertutup sepenuhnya, membatasi data yang bisa "dibaca" oleh AI adalah pertahanan terbaik.