Kerentanan  ·  2026-07-06

Keracunan AI Agent melalui SEO Poisoning dan Hidden HTML Prompt Injection — Agent Ditipu untuk Melakukan Pembayaran Crypto Fraudulen

KerentananHigh dampakGlobal
Zscaler ThreatLabz (dipublikasikan ~3 Juli 2026, dibahas dalam Laporan Intelijen Kerentanan Threat-Modeling.com tanggal 4 Juli) mengungkapkan dua kampanye langsung yang memanfaatkan ketidakmampuan AI agent untuk membedakan konten yang terlihat oleh manusia dari konten DOM tersembunyi: halaman dokumentasi perpustakaan Python palsu (requests-secure-v2) yang menginstruksikan agent membayar biaya lisensi palsu, dan DeBank clone typosquatted (debank[.]auction) menggunakan manipulasi JSON-LD/Open Graph untuk membuat agent menganggapnya sebagai sumber yang berwenang. Pengujian menunjukkan kerentanan yang bergantung pada model — beberapa model menyelesaikan pembayaran fraudulen.
Ini adalah jalur serangan nyata yang terbukti (bukan teoritis) terhadap model kepercayaan yang mendasari hampir semua AI agentic: setiap asisten pengkodean AI, agent penelitian, atau alat otomasi browser yang merayapi web terbuka terpapar hanya dengan meneliti topik yang sudah diracuni, tanpa memerlukan malware atau pencurian kredensial — seluruh web menjadi permukaan serangan.
Penyerang membangun situs dokumentasi/DeFi palsu yang dioptimalkan SEO dan menyematkan payload prompt-injection tidak langsung di node DOM tersembunyi (penentuan posisi CSS display:none/off-screen, metadata terstruktur JSON-LD, komentar HTML, alt-text). Ketika AI agent mengeruk halaman sambil melakukan penelitian atau pemecahan masalah yang sah, agent tersebut menyerap instruksi tersembunyi sebagai konteks terpercaya dan mengeksekusinya — misalnya, membayar biaya lisensi palsu melalui Stripe atau alamat dompet crypto yang dikodkan, atau memperlakukan situs DeFi typosquatted sebagai berwenang (poisoning RAG).
Asisten pengkodean AI, agent otomasi browser, agent penelitian (model-agnostik — didemonstrasikan terhadap model GPT-5.4, Claude Sonnet 4.5 class)
Hapus node DOM tersembunyi sebelum penyerapan agent; terapkan gerbang persetujuan manusia untuk setiap pembayaran yang dimulai agent, pengajuan kredensial, atau tindakan yang tidak dapat diubah; gunakan allowlist sumber terpercaya dan validasi metadata terstruktur untuk pengambilan web agent; lakukan pengujian adversarial agent terhadap prompt injection tidak langsung per OWASP LLM01.
Threat-Modeling.com — AI Agent Poisoning via SEO and Hidden HTMLCybersecurityNews — Hackers Abuse SEO Poisoning and Hidden HTMLZscaler ThreatLabz research
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →