Apa yang terjadi
Zscaler ThreatLabz (dipublikasikan ~3 Juli 2026, dibahas dalam Laporan Intelijen Kerentanan Threat-Modeling.com tanggal 4 Juli) mengungkapkan dua kampanye langsung yang memanfaatkan ketidakmampuan AI agent untuk membedakan konten yang terlihat oleh manusia dari konten DOM tersembunyi: halaman dokumentasi perpustakaan Python palsu (requests-secure-v2) yang menginstruksikan agent membayar biaya lisensi palsu, dan DeBank clone typosquatted (debank[.]auction) menggunakan manipulasi JSON-LD/Open Graph untuk membuat agent menganggapnya sebagai sumber yang berwenang. Pengujian menunjukkan kerentanan yang bergantung pada model — beberapa model menyelesaikan pembayaran fraudulen.
Mengapa penting
Ini adalah jalur serangan nyata yang terbukti (bukan teoritis) terhadap model kepercayaan yang mendasari hampir semua AI agentic: setiap asisten pengkodean AI, agent penelitian, atau alat otomasi browser yang merayapi web terbuka terpapar hanya dengan meneliti topik yang sudah diracuni, tanpa memerlukan malware atau pencurian kredensial — seluruh web menjadi permukaan serangan.
Vektor serangan
Penyerang membangun situs dokumentasi/DeFi palsu yang dioptimalkan SEO dan menyematkan payload prompt-injection tidak langsung di node DOM tersembunyi (penentuan posisi CSS display:none/off-screen, metadata terstruktur JSON-LD, komentar HTML, alt-text). Ketika AI agent mengeruk halaman sambil melakukan penelitian atau pemecahan masalah yang sah, agent tersebut menyerap instruksi tersembunyi sebagai konteks terpercaya dan mengeksekusinya — misalnya, membayar biaya lisensi palsu melalui Stripe atau alamat dompet crypto yang dikodkan, atau memperlakukan situs DeFi typosquatted sebagai berwenang (poisoning RAG).
Sistem yang terdampak
Asisten pengkodean AI, agent otomasi browser, agent penelitian (model-agnostik — didemonstrasikan terhadap model GPT-5.4, Claude Sonnet 4.5 class)
Mitigasi
Hapus node DOM tersembunyi sebelum penyerapan agent; terapkan gerbang persetujuan manusia untuk setiap pembayaran yang dimulai agent, pengajuan kredensial, atau tindakan yang tidak dapat diubah; gunakan allowlist sumber terpercaya dan validasi metadata terstruktur untuk pengambilan web agent; lakukan pengujian adversarial agent terhadap prompt injection tidak langsung per OWASP LLM01.