Ringkasan Utama ZDNET
Browser Comet milik Perplexity berpotensi membocorkan data pribadi Anda.
Pelaku ancaman bisa menyisipkan perintah melalui situs web berbahaya ke dalam prompt.
Sistem AI seharusnya memperlakukan data pengguna dan data situs web secara terpisah.
Browser AI agentik tengah menjadi tren terbaru di dunia kecerdasan buatan. Alih-alih menelusuri web sendiri untuk menyelesaikan tugas tertentu, Anda dapat memerintahkan browser untuk mengirim agent-nya guna menjalankan misi tersebut. Namun, tergantung pada browser yang digunakan, Anda mungkin membuka diri terhadap risiko keamanan.
Dalam sebuah postingan blog yang dirilis pada Rabu, tim di balik browser Brave (yang menawarkan asisten AI bernama Leo) mengarahkan kritik kepada browser Comet terbaru dari Perplexity. Saat ini tersedia untuk unduhan publik, Comet dibangun dengan premis AI agentik, menjanjikan bahwa keinginan Anda adalah perintahnya.
Lantas, apa masalahnya? Pertama, tentu ada peluang untuk terjadinya kesalahan. Mengingat AI sangat rentan terhadap kesalahan, agent bisa salah menafsirkan instruksi, mengambil langkah yang keliru, atau melakukan tindakan yang tidak Anda tentukan. Tantangan akan berlipat ganda jika Anda mempercayakan AI untuk menangani detail pribadi, seperti kata sandi atau informasi pembayaran.
Namun, risiko terbesar terletak pada bagaimana browser memproses konten prompt, dan di sinilah Brave menemukan kelemahan pada Comet. Dalam demonstrasinya, Brave menunjukkan bagaimana penyerang dapat menyuntikkan perintah ke dalam prompt melalui situs web jahat yang mereka buat. Dengan gagal membedakan antara permintaan Anda dan perintah dari penyerang, browser dapat membocorkan data pribadi Anda hingga dikompromikan.
"Kerentanan yang kami bahas dalam pos ini terletak pada cara Comet memproses konten halaman web," jelas Brave. "Ketika pengguna meminta untuk ‘Ringkas halaman web ini’, Comet langsung memasukkan sebagian halaman web ke LLM-nya tanpa membedakan antara instruksi pengguna dan konten yang tidak tepercaya dari halaman web. Hal ini memungkinkan penyerang menyisipkan payload injeksi prompt tidak langsung yang akan dieksekusi AI sebagai perintah. Misalnya, penyerang dapat mengakses email pengguna dari sepotong teks yang disiapkan di halaman di tab lain."
Sampai saat ini, belum ada contoh serangan seperti ini yang diketahui terjadi di wild. Brave menyatakan bahwa serangan yang didemonstrasikan pada Comet menunjukkan bahwa keamanan web tradisional tidak cukup untuk melindungi pengguna saat memanfaatkan AI agentik. Sebaliknya, agent semacam ini memerlukan jenis keamanan dan privasi baru. Dengan tujuan tersebut, Brave merekomendasikan beberapa langkah yang harus diterapkan.
Browser harus membedakan antara instruksi pengguna dan konten situs web. Permintaan yang dikirimkan pengguna di prompt harus dipisahkan dari konten yang disajikan di sebuah situs web. Mengingat situs jahat selalu mungkin ada, konten ini harus selalu diperlakukan sebagai tidak terpercaya.
Model AI harus memastikan bahwa tugas selaras dengan permintaan pengguna. Tindakan apa pun yang dikirimkan ke prompt harus diperiksa terhadap apa yang diminta oleh pengguna untuk memastikan keselarasan.
Tugas yang berkaitan dengan keamanan dan privasi sensitif harus memerlukan izin pengguna. AI harus selalu meminta respons dari pengguna sebelum menjalankan tugas apa pun yang memengaruhi keamanan atau privasi. Misalnya, jika agent diperintahkan untuk mengirim email, menyelesaikan pembelian, atau masuk ke suatu situs, ia harus terlebih dahulu meminta konfirmasi dari pengguna.
Browser harus mengisolasi browsing agentik dari browsing biasa. Mode browsing agentik membawa beberapa risiko, karena browser dapat membaca dan mengirim email atau melihat data sensitif serta rahasia di suatu situs web. Oleh karena itu, mode browsing agentik harus menjadi pilihan yang jelas, bukan sesuatu yang dapat diakses pengguna secara tidak sengaja atau tanpa disadari.
Lalu, bagaimana tanggapan Perplexity setelah Brave menemukan kelemahan pada Comet? Berikut adalah linimasa peristiwa sesuai deskripsi Brave.
25 Juli 2025: Kerentanan ditemukan dan dilaporkan ke Perplexity.
27 Juli 2025: Perplexity mengakui kerentanan dan menerapkan fix awal.
28 Juli 2025: Retesting mengungkapkan perbaikan belum lengkap; detail dan komentar tambahan diberikan kepada Perplexity.
11 Agustus 2025: Pemberitahuan disclosure publik satu minggu dikirim ke Perplexity.
13 Agustus 2025: Pengujian akhir mengonfirmasi kerentanan tampaknya telah ditambal.
20 Agustus 2025: Pengungkapan publik detail kerentanan (Pembaruan: dalam pengujian lebih lanjut setelah blog post ini dirilis, kami mengetahui bahwa Perplexity masih belum sepenuhnya memitigasi jenis serangan yang dijelaskan di sini. Kami telah melaporkannya kembali kepada mereka.)
Sekarang, bola kembali di pihak Perplexity. Saya telah menghubungi perusahaan untuk mendapatkan komentar dan akan memperbarui cerita ini dengan respons apa pun yang diberikan.
"Kerentanan dalam Perplexity Comet ini menyoroti tantangan mendasar dengan browser AI agentik: memastikan bahwa agent hanya mengambil tindakan yang selaras dengan keinginan pengguna," kata Brave. "Seiring dengan kemampuan asisten AI yang semakin kuat, serangan indirect prompt injection menimbulkan risiko serius bagi keamanan web."