Data Pribadi Pengguna ChatGPT Rentan Dicuri Hacker, Ini Penyebabnya

Liputan6.com, Jakarta - Para peneliti dari Tenable menemukan beberapa kelemahan dari ChatGPT milik OpenAI yang memungkinkan hacker untuk mencuri informasi pribadi dari riwayat obrolan dan memori milik pengguna yang tersimpan.

Ditemukan tujuh masalah yang sebagian besar berasal dari cara ChatGPT dan model pembantunya SearchGPT--bekerja ketika menjelajah atau mencari di web sebagai respons terhadap pengguna--baik saat mencari informasi, meringkas halaman, maupun membuka URL.

Kerentanan ini memungkinkan penyerang untuk memanipulasi perilaku chatbot dengan cara yang berbeda tanpa sepengetahuan pengguna.

“Dengan menggabungkan dan mencocokkan semua kerentanan dan teknik yang kami temukan, kami mampu menciptakan bukti konsep untuk beberapa vektor serangan yang lengkap,” ujar peneliti keamanan siber dari Tenable, Moshe Bernstein dan Liv Matan, sebagaimana dilansir Dark Reading, Senin (10/11/2025).

Penemuan dari Tenable menambah semakin banyaknya penelitian yang mengungkap kelemahan keamanan mendasar dalam Large Language Models (LLM) dan chatbot AI. Sejak perilisan publik ChatGPT di akhir 2022, para peneliti telah berulang kali menunjukkan bagaimana serangan promt injection, kerentanan kebocora data, dan teknik jailbreaking dapat mengkompromikan sistem ini. 

Serangan dilakukan dengan cara yang mendasar berbeda dari kerentanan perangkat lunak tradisional dan betapa jauh lebih sulitnya untuk dimitigasi.

Penelitian baru ini adalah pengingat lain tentang perlunya kehati-hatian bagi perusahaan yang mengintegrasikan LLM dan chatbot ke dalam alur kerja mereka tanpa banyak mempertimbangkan implikasi keamanan yang potensial.

Tujuh kerentanan yang diungkap Tenable berasal dari cara ChatGPT menyerap dan memproses instruksi dari sumber eksternal, termasuk situs web yang diaksesnya, hasil pencarian, komentar blog, dan URL yang dibuat khusus.

Dikutip dari Tenable, perusahaan ini menunjukkan bagaimana penyerang dapat mengeksploitasi kelemahan-kelemahan itu dengan menyembunyikan prompt berbahaya dalam komentar blog, 'meracuni' hasil pencarian untuk menerobos filter keamanan ChatGPT, dan memanfaatkan cara ChatGPT memproses riwayat percakapan dan menyimpan memori.

1. Indirect Prompt Injection in Browsing Context

Kerentanan ini terjadi ketika penyerang menyuntikkan instruksi berbahaya ke dalam konten eksternal yang sah, seperti komentar di postingan blog atau halaman web terpercaya.

Jika pengguna meminta ChatGPT untuk meringkas konten halaman tersebut, komponen penjelajah web akan mengambil dan menjalankan instruksi tersembunyi.

Instruksi ini dapat memanipulasi respons ChatGPT,  misalnya dengan mengirimkan tautan ke situs phising yang berbahaya kepada pengguna, semuanya tanpa sepengetahuan pengguna.

2. Safety Mechanism Bypass

Mekanisme keamanan ChatGPT dirancang untuk memblokir URL yang tidak aman. Namun peneliti menemukan bahwa penyerangan dapat melewati fitur ini. Mereka melakukannya dengan memanfaatkan URL wrapper terpercaya untuk menyamarkan tautan berbahaya yang sebenarnya.

Karena ChatGPT mempercayai domain wrapper tersebut, tautan berbahaya akan ditampilkan kepada pengguna dan dapat dieksekusi, dan berpotensi mengarahkan pengguna ke situs web berbahaya.

3. Conversation Injection

Kerentanan ini mengeksploitasi cara ChatGPT berinteraksi dengan SearchGPT. Penyerang dapat memasukkan instruksi berbahaya ke dalam konten yang diambil oleh SearchGPT.

Setelah instruksi ini masuk ke dalam topik percakapan, ChatGPT membacanya seolah-olah instruksi itu adalah bagian dari obrolan sebelumnya. Hal ini memaksa model untuk memberikan balasan yang tidak dimaksudkan.

4. Malicious Content Concealment

Kerentanan ini memanfaatkan bug pemformatan markdown di ChatGPT. Penyerang dapat menyembunyikan instruksi atau prompt berbahaya di dalam teks dengan menempatkannya di blok kode yang salah format.

Meskipun pengguna melihat pesan yang bersih atau tidak mencurigakan, ChatGPT tetap membaca dan mengeksekusi konten tersembunyi di balik blok kode tersebut. teknik ini sangat efektif untuk menyuntikkan perintah secara diam-diam.

5. Zero Click Indirect Prompt Injection in Search Context

Kerentanan ini serius karena tidak memerlukan interaksi dari pengguna selain mengajukan pertanyaan. Ketika pengguna mengajukan pertanyaan, komponen pencarian ChatGPT dapat mengambil halaman web yang telah diracuni oleh penyerang.

Halaman ini membawa instruksi berbahaya yang kemudian dieksekusi oleh model. Ha ini berarti kompromi dapat terjadi hanya dengan mengajukan pertanyaan yang kebetulan memicu pencarian ke situs berbahaya.

6. Persistent Memory Injection

Kerentanan ini menargetkan fitur memori ChatGPT yang menyimpan informasi penting tentang pengguna. Penyerang, setelah berhasil melakukan injeksi prompt di satu sesi, dapat memaksa ChatGPT untuk menyimpan instruksi berbahaya sebagai memori jangka panjang.

Akibatnya, setiap kali pengguna memulai percakapan baru, instruksi berbahaya tersebut akan dipanggil, menyebabkan model terus menerus membocorkan data pribadi atau melakukan tindakan berbahaya di sesi berikutnya hingga memori tersebut dihapus secara manual.

7. Data Exfiltration   

Kerentanan ini merupakan hasil akhir dari kombinasi kerentanan sebelumnya. Tenable menunjukkan bagaimana penyerang dapat menggabungkan teknik-teknik seperti injeksi prompt dan safety mehanism bypass, untuk mencuri data sensitif (riwayat obrolan pengguna atau dari layanan lain yang terhubung seperti Google Drive atau Gmail) dan mengirimkannya ke server yang dikontrol oleh penyerang. Ini adalah vektor serangan lengkap dari penyuntikan instruksi hingga pencurian data yang berhasil.

Berenstein mengatakan sangat memungkinkan bagi penyerang dengan sumber daya tinggi, seperti kelompok Advanced Persistent Threat (APT), untuk mengeksploitasi satu atau semua kerentanan guna menjalankan kampanye yang menargetkan banyak pengguna.

Tenable melakukan sebagian besar penelitiannya pada ChatGPT-4o tetapi menemukan bahwa beberapa kerentanan dan bukti konsep, termasuk masalah indirect prompt injection dan kerentanan zero click serta one click juga valid pada ChatGPT-5.

Perusahaan tersebut telah melaporkan masalah ini ke OpenAI pada April dan OpenAI mengakui telah menerima laporan kerentanan dari Tenable. Tetapi tidak dijelaskan apakah OpenAI sudah melakukan perubahan terkait kerentanan tersebut.