
Bayangkan Anda memberi asisten AI sebuah ingatan dan akses ke kotak masuk email Anda. Kini seorang penyerang memiliki cara untuk menulis ulang apa yang AI tersebut pikirkan tentang Anda. Serangan baru bernama MemGhost membuktikan bahwa hanya satu email yang diperlukan untuk menanamkan memori palsu secara permanen pada AI agent, menyembunyikan perubahannya, dan diam-diam mengarahkan jawaban AI di sesi-sesi mendatang.
Apa yang Terjadi?
Para peneliti dari studi yang dipublikasikan di arXiv pada 6 Juli 2026 dengan judul “When Claws Remember but Do Not Tell” mendemonstrasikan serangan yang disebut stealth memory injection atau injeksi memori tersembunyi. Mereka membangun tool otomatis bernama MemGhost yang menulis email berbahaya secara otomatis.
AI agent seperti OpenClaw menyimpan catatan tentang pengguna dalam file teks biasa — preferensi, kontak, dan tugas yang diminta. File-file ini dimuat di awal setiap sesi baru, itulah mengapa AI terasa “mengenal” Anda. MemGhost mengeksploitasi mekanisme ini.
Yang terjadi dalam serangan:
- Penyerang mengirim email ke seseorang yang AI agent-nya rutin memeriksa kotak masuk
- Di dalam email, tersembunyi instruksi yang ditujukan untuk AI, bukan untuk manusia
- AI menggunakan tool file-nya sendiri untuk menulis catatan palsu ke memori persisten
- Balasan AI terlihat normal — tidak ada jejak manipulasi
- Di sesi mendatang, memori palsu mengubah perilaku AI
Detil Teknis
Hasil pengujian MemGhost menunjukkan tingkat keberhasilan yang mengkhawatirkan:
- 87,5% keberhasilan pada mode background melawan OpenClaw dengan GPT-5.4
- 71,4% keberhasilan melawan Claude Code SDK dengan Sonnet 4.6
- Di atas 80% pada dua framework agent lainnya dalam mode background
Salah satu contoh serangan yang diuji: MemGhost menanam informasi palsu bahwa batas pengiriman Zelle harian pengguna telah dinaikkan menjadi $10.000. Jika korban kemudian meminta AI untuk mengirim uang, AI akan “mengetahui” bahwa batasnya sudah cukup tinggi.
Yang paling mengerikan, filter input yang dirancang untuk menangkap email beracun melewatkan pesan MemGhost lebih dari sembilan dari sepuluh kali. Bahkan model AI yang sudah di-hardening khusus untuk mengabaikan instruksi dari email tetap mengikuti perintah yang ditanam sekitar separuh waktu.
Dampak terhadap Indonesia
Adopsi AI agent untuk produktivitas bisnis di Indonesia meningkat pesat. Asisten AI yang terintegrasi dengan email, kalender, dan sistem CRM menjadi target ideal untuk serangan MemGhost. Organisasi yang menggunakan AI agent untuk otomasi layanan pelanggan atau operasional internal sangat rentan terhadap jenis manipulasi ini.
Rekomendasi Mitigasi
- Isolasi email processing: Gunakan reader agent terpisah yang tidak memiliki akses memori atau file
- Provenance tagging: Tandai dari mana setiap informasi berasal dalam memori AI
- User confirmation: Minta konfirmasi pengguna sebelum informasi baru ditulis ke memori persisten
- Audit logging: Catat setiap kali AI menulis atau memodifikasi file memori
- Regular memory review: Periksa file memori AI secara berkala untuk anomali
“Masalah yang sebenarnya lebih sederhana: pesan dari luar menjadi konteks tepercaya yang tahan lama di dalam AI, tanpa momen terlihat di mana seseorang menyetujuinya,” para peneliti dalam studi tersebut.
Sumber: The Hacker News
