Halaman Web Berbahaya Mengambil Alih Agen AI, Dan Beberapa Menargetkan PayPal Anda

Singkatnya

• Google mendokumentasikan lonjakan 32% dalam serangan injeksi prompt tidak langsung berbahaya antara November 2025 dan Februari 2026, yang menargetkan agen AI yang menjelajah web.
• Payload nyata yang ditemukan di alam liar termasuk instruksi transaksi PayPal yang lengkap dan spesifik yang disematkan secara tidak terlihat dalam HTML biasa, ditujukan untuk agen dengan kemampuan pembayaran.
• Saat ini tidak ada kerangka hukum yang menentukan tanggung jawab ketika agen AI dengan kredensial yang sah mengeksekusi perintah yang ditanamkan oleh situs web pihak ketiga yang jahat.

Penyerang diam-diam memasang jebakan di halaman web dengan instruksi tidak terlihat yang dirancang untuk agen AI, bukan pembaca manusia. Dan menurut tim keamanan Google, masalah ini berkembang dengan cepat. Dalam laporan yang diterbitkan 23 April, para peneliti Google Thomas Brunner, Yu-Han Liu, dan Moni Pande memindai 2-3 miliar halaman web yang di-crawl setiap bulan mencari serangan injeksi prompt tidak langsung—perintah tersembunyi yang disematkan di situs web yang menunggu agen AI membacanya dan kemudian mengikuti perintah tersebut. Mereka menemukan lonjakan 32% dalam kasus berbahaya antara November 2025 dan Februari 2026. Penyerang menyematkan instruksi di halaman web dengan cara yang tidak terlihat oleh manusia: teks yang diperkecil menjadi satu piksel, teks yang hampir transparan, konten yang disembunyikan di bagian komentar HTML, atau perintah yang terkubur di metadata halaman. AI membaca seluruh HTML. Manusia tidak melihat apa-apa.

Sebagian besar dari apa yang ditemukan Google adalah tingkat rendah—lelucon, manipulasi mesin pencari, upaya mencegah agen AI merangkum konten. Misalnya, ada beberapa prompt yang mencoba memberi tahu AI untuk “Tweet seperti burung.” Tapi kasus berbahaya adalah cerita yang berbeda. Satu kasus menginstruksikan LLM untuk mengembalikan alamat IP pengguna bersamaan dengan kata sandinya. Kasus lain berusaha memanipulasi AI agar mengeksekusi perintah yang memformat mesin pengguna AI.

Tapi kasus lain hampir kriminal.

Para peneliti di perusahaan keamanan siber Forcepoint menerbitkan laporan hampir bersamaan, dan menemukan payload yang lebih jauh. Salah satunya menyematkan transaksi PayPal yang lengkap dan spesifik dengan instruksi langkah demi langkah yang menargetkan agen AI dengan kemampuan pembayaran terintegrasi, juga menggunakan teknik jailbreak terkenal “abaikan semua instruksi sebelumnya”.

Serangan kedua menggunakan teknik yang disebut “injeksi namespace meta tag” dikombinasikan dengan kata kunci penguat persuasi untuk mengarahkan pembayaran yang dimediasi AI ke tautan donasi Stripe. Kasus ketiga tampaknya dirancang untuk menyelidiki sistem AI mana yang sebenarnya rentan—penelitian sebelum serangan yang lebih besar. Ini adalah inti dari risiko perusahaan. Agen AI dengan kredensial pembayaran yang sah, mengeksekusi transaksi yang dibaca dari sebuah situs web, menghasilkan log yang tampak identik dengan operasi normal. Tidak ada login yang mencurigakan. Tidak ada brute force. Agen melakukan apa yang diizinkan—hanya saja instruksinya berasal dari sumber yang salah. Serangan CopyPasta yang didokumentasikan bulan September lalu menunjukkan bagaimana injeksi prompt dapat menyebar melalui alat pengembang dengan menyembunyikan di dalam file “readme”. Variasi keuangannya adalah konsep yang sama yang diterapkan pada uang, bukan kode—dan dengan dampak yang jauh lebih tinggi per serangan yang berhasil. Seperti yang dijelaskan Forcepoint, AI browser yang hanya dapat merangkum konten berisiko rendah. AI yang bersifat agen yang dapat mengirim email, mengeksekusi perintah terminal, atau memproses pembayaran adalah kategori target yang sama sekali berbeda. Permukaan serangan meningkat seiring dengan hak istimewa.  Baik Google maupun Forcepoint tidak menemukan bukti kampanye yang canggih dan terkoordinasi. Forcepoint mencatat bahwa template injeksi yang dibagikan di berbagai domain “menunjukkan alat yang terorganisir daripada eksperimen yang terisolasi”—berarti seseorang sedang membangun infrastruktur untuk ini, meskipun mereka belum sepenuhnya mengimplementasikannya.

Tapi Google lebih langsung: Tim peneliti mengatakan mereka memperkirakan skala dan kecanggihan serangan injeksi prompt tidak langsung akan meningkat dalam waktu dekat. Para peneliti Forcepoint memperingatkan bahwa peluang untuk mengatasi ancaman ini semakin cepat tertutup. Pertanyaan tanggung jawab adalah yang belum dijawab. Ketika agen AI dengan kredensial yang disetujui perusahaan membaca halaman web berbahaya dan memulai transfer PayPal palsu, siapa yang bertanggung jawab? Perusahaan yang mengerahkan agen tersebut? Penyedia model yang sistemnya mengikuti instruksi yang disuntikkan? Pemilik situs web yang menampung payload, baik secara sadar maupun tidak? Saat ini tidak ada kerangka hukum yang mengatur ini. Ini adalah area abu-abu meskipun skenarionya tidak lagi bersifat teoretis, karena Google menemukan payload di alam liar bulan Februari lalu. Open Worldwide Application Security Project menempatkan injeksi prompt sebagai LLM01:2025—kelas kerentanan paling kritis dalam aplikasi AI. FBI melacak hampir $900 juta kerugian penipuan terkait AI pada tahun 2025, tahun pertamanya mencatat kategori ini secara terpisah. Temuan Google menunjukkan bahwa serangan keuangan yang lebih terarah dan spesifik agen baru saja dimulai. Kenaikan 32% yang diukur antara November 2025 dan Februari 2026 hanya mencakup halaman web publik statis. Media sosial, konten berlangganan login, dan situs dinamis tidak termasuk dalam cakupan. Tingkat infeksi sebenarnya di seluruh web kemungkinan lebih tinggi.