Bayangkan sebuah pesan teks biasa masuk ke ponsel Anda. Tanpa Anda sentuh, tanpa Anda buka, pesan itu sudah cukup untuk memberi perintah pada asisten virtual agar menguping ruangan atau membuka pintu rumah. Ini bukan skenario film fiksi ilmiah. Inilah yang berhasil dibuktikan oleh peneliti SafeBreach Labs pada Google Gemini versi Android.
SafeBreach menemukan teknik bernama Fake Context Alignment, varian dari serangan Indirect Prompt Injection. Alih-alih mengetik perintah langsung ke jendela prompt AI, pelaku menyembunyikan instruksi jahat di dalam konten yang akan dibaca oleh sistem — dalam kasus ini, notifikasi dari aplikasi seperti WhatsApp, Slack, atau SMS.
Karena Gemini dirancang untuk memindai notifikasi masuk agar bisa memberikan respons kontekstual, sistem secara otomatis menelan teks dari pemberitahuan tersebut. SafeBreach menemukan bahwa dengan menyusun teks secara hati-hati — kadang menyembunyikannya dalam bahasa asing atau tautan yang tidak terlihat — mereka bisa menipu Gemini agar menganggap instruksi berbahaya itu sebagai bagian dari percakapan pengguna yang sah.
Bukan sekadar spam: dari mematikan lampu hingga menyadap lewat Zoom
Setelah Gemini menelan notifikasi yang sudah diracuni, peneliti bisa memaksa asisten tersebut menjalankan serangkaian tugas tanpa memberi peringatan visual atau audio kepada pemilik ponsel.
- Kendali perangkat rumah pintar: Gemini diperintahkan berinteraksi dengan Google Home untuk menyalakan boiler atau membuka jendela yang terhubung.
- Penyadapan diam-diam: Asisten diprogram untuk langsung mengaktifkan panggilan video Zoom, mengubah ponsel menjadi kamera mata-mata jarak jauh.
- Keracunan memori permanen: Instruksi jahat ditanamkan ke "Saved Info" atau memori jangka panjang Gemini, sehingga perintah berbahaya tetap aktif di sesi obrolan yang berbeda berhari-hari kemudian.
- Phishing buta: Gemini disuruh membaca riwayat notifikasi, mengambil nama pengirim asli pertama yang terlihat — seperti atasan atau pasangan — lalu mengirimkan pesan palsu yang seolah-olah dari orang tersebut.
Satu skenario paling licik: serangan memanfaatkan celah waktu. Karena asisten suara dirancang untuk membuka mikrofon setelah berbicara dan menunggu balasan, peneliti memerintahkan Gemini untuk diam dan baru menjalankan aksi beberapa jam kemudian — saat pengguna mengucapkan kata polos seperti "Makasih".
Google sudah menambal, tapi masalah struktural tetap mengintai
Kabar baiknya, SafeBreach mengikuti protokol pengungkapan yang bertanggung jawab. Mereka melaporkan kerentanan ini secara tertutup ke Google, dan raksasa teknologi itu sudah menerapkan tambalan di sisi server dengan meningkatkan content classifier untuk memblokir bentuk manipulasi konteks spesifik ini. SafeBreach juga menegaskan tidak ada bukti teknik ini pernah digunakan oleh peretas di dunia nyata.
Tapi masalah yang lebih dalam tidak hilang begitu saja. Ini bukan celah kode biasa di WhatsApp atau Signal. Ini adalah tantangan arsitektural yang melekat pada cara kerja sistem AI agenik modern. Semakin banyak kekuasaan yang diberikan pada asisten virtual — membaca email, memonitor layar, mengelola jadwal, mengendalikan sistem operasi — semakin besar potensi ledakan dari satu serangan prompt injection.
Bagi pengguna Android di Indonesia, langkah perlindungan paling praktis saat ini adalah mengaudit izin aplikasi Gemini. Buka pengaturan Android, cari izin Gemini, dan pertimbangkan untuk menonaktifkan aksesnya ke notifikasi sistem. Selama celah arsitektural ini belum tertutup sepenuhnya, membatasi data yang bisa "dibaca" oleh AI adalah pertahanan terbaik.
