
Peneliti dari Seoul National University, University of Illinois Urbana-Champaign, dan Largosoft mengungkap kelas serangan baru yang disebut Agent Data Injection (ADI). Serangan ini tidak membajak tugas AI agent, melainkan merusak data tepercaya yang digunakan agent untuk membuat keputusan. Satu ulasan produk yang ditanam bisa membuat agent mengklik “Beli Sekarang” alih-alih “Baca Selengkapnya.”
APA YANG TERJADI?
Para peneliti mempublikasikan paper pada 6 Juli 2026 yang mendeskripsikan mekanisme ADI. Berbeda dengan prompt injection klasik yang menyembunyikan perintah di dalam data, ADI menargetkan fakta-fakta kecil yang secara diam-diam dipercaya oleh AI agent: siapa pengirim email, ID tombol di halaman web, atau catatan langkah yang sudah dijalankan tool. Dengan mengkorupsi fakta-fakta ini, penyerang membuat agent tetap menjalankan tugas yang diminta, namun berdasarkan informasi yang sudah dimanipulasi.
Teknik yang digunakan disebut probabilistic delimiter injection. AI agent membungkus data dengan tanda baca seperti tanda kutip, kurung, dan tag untuk membedakan satu field dari field lainnya. Program biasa membaca tanda baca ini dengan aturan ketat, namun model bahasa membacanya dengan perkiraan. Penyerang bisa menaburkan karakter mirip delimiter ke dalam field yang mereka kendalikan, dan model sering kali membacanya sebagai struktur yang sebenarnya tidak ada, melihat email tambahan, tombol tambahan, atau hasil tool tambahan.
DETAIL TEKNIS
Peneliti membangun tiga serangan working pada tools yang sudah beredar. Pertama, pada web agents seperti Claude di Chrome, Google Antigravity, dan Nanobrowser, ulasan produk palsu menggunakan ID tombol nyata sehingga agent mengklik “Beli Sekarang” alih-alih tombol yang dimaksud. Kedua, pada coding assistants seperti Claude Code, OpenAI Codex, dan Google Gemini CLI, komentar GitHub palsu menulis author line seolah-olah ditulis oleh project maintainer. Ketiga, pull request jahat memalsukan record check yang tidak pernah dijalankan agent, sehingga code berbahaya lolos review.
Yang mengejutkan, semua model yang diuji terbukti rentan: GPT-5.2, GPT-5-mini, Claude Opus 4.5, Sonnet 4.5, Gemini 3 Pro, dan Flash. Pada structured data, serangan berhasil 31% hingga 43%, dan pada webpage data dari sepertiga hingga seluruh percobaan. Melawan pertahanan khusus agent yang sudah ada, ADI masih berhasil hingga 50% sementara prompt injection klasik hampir sepenuhnya diblokir. Satu-satunya pertahanan efektif yang ditemukan adalah penambahan ID acak tak tertebak ke field names, yang mengurangi keberhasilan serangan dari sekitar 49% menjadi 29%.
DAMPAK TERHADAP INDONESIA
Serangan ADI memiliki implikasi signifikan bagi organisasi Indonesia yang mulai mengadopsi AI agent untuk otomatisasi bisnis. Dengan meningkatnya penggunaan AI coding assistants oleh developer Indonesia dan web agents untuk otomatisasi e-commerce, risiko ADI menjadi nyata. BSSN dan Kementerian Kominfo perlu mengeluarkan panduan keamanan AI agent yang mempertimbangkan vector serangan baru ini. UU PDP mewajibkan organisasi untuk melindungi data yang diproses oleh sistem AI, dan ADI menunjukkan bahwa pertahanan saat ini belum memadai. Organisasi yang mengintegrasikan AI agent ke dalam workflow bisnis harus mulai mempertimbangkan data provenance verification sebagai kontrol keamanan wajib.
REKOMENDASI MITIGASI
Untuk pengembang yang membangun atau menggunakan AI agents, peneliti merekomendasikan beberapa pendekatan: pertama, implementasikan random tagging pada field names untuk mengurangi keberhasilan ADI hingga setengahnya. Kedua, gunakan data provenance tracking yang mencatat dari mana setiap data berasal meskipun ini mengurangi produktivitas agent hingga sepertiga. Ketiga, strip delimiter dari data input meskipun ini mematahkan kemampuan agent membaca link dan file path. Keempat, implementasikan approval workflows yang lebih granular di mana agent menunjukkan spesifik element apa yang akan diinteraksi dan mengapa, bukan sekadar konfirmasi umum.
Analisa Retasan
Agent Data Injection mewakili evolusi signifikan dari konsep prompt injection yang sudah dikenal. Sementara prompt injection klasik menyembunyikan perintah asing di dalam data, ADI bekerja pada level yang lebih fundamental dengan mengkorupsi metadata tepercaya yang menjadi dasar pengambilan keputusan AI agent. Ini seperti menulis alamat palsu pada amplop yang terlihat sah, bukan menyelipkan surat terpisah di dalamnya. Mekanisme probabilistic delimiter injection sangat elegan secara teknis karena memanfaatkan bagaimana model bahasa memproses struktur data secara inheren berbeda dari program tradisional. Fakta bahwa model sebesar GPT-5.2 dan Claude Opus 4.5 sekalipun rentan menunjukkan bahwa ini bukan bug spesifik model, melainkan arsitektural weakness yang melekat pada cara LLM memproses structured data. Temuan ini mengingatkan pada CVE-2025-32711 (EchoLeak) di Microsoft 365 Copilot yang diungkap Aim Security pada Juni 2025, di mana email yang dikurasi bisa membuat Copilot membocorkan file internal tanpa klik. ADI adalah next turn of the screw dari konsep yang sama.
Temuan tentang format data yang bisa di-recover dari model AI juga mengkhawatirkan. Peneliti berhasil menggunakan multi-turn jailbreak untuk memaksa model mengungkap format internalnya, dan shortcut tersedia karena model besar dan kecil cenderung berbagi format yang sama. Ini berarti attacker bisa mengambil format dari model kecil yang lebih mudah di-break, lalu menggunakannya pada model besar. Choi dari tim peneliti memperkirakan format ini akan tetap bisa di-recover meskipun model terus berkembang karena LLM secara inheren tidak bisa menjaga rahasia semacam ini secara konsisten. Implikasinya sangat luas: setiap organisasi yang mengintegrasikan AI agent ke dalam sistem kritis perlu mempertimbangkan bahwa attacker selalu memiliki jalanan untuk memahami bagaimana data diproses.


