JBNews.id — Ancaman keamanan siber dari agen AI kini bisa dilawan dengan teknik baru bernama context bombing. Peneliti dari Tracebit menemukan bahwa menempatkan prompt injection di samping kata sandi dan kunci kriptografi pada Amazon Web Services (AWS) mampu menghentikan serangan agen AI peretas hanya dengan memicu mekanisme penolakan internal model bahasa besar (LLM).
Teknik ini memanfaatkan celah keamanan yang selama ini digunakan oleh peretas. Prompt injection diarahkan untuk memerintahkan LLM penyerang melakukan tindakan yang dilarang oleh guardrails—batasan keamanan yang dipasang pengembang AI untuk mencegah aksi berbahaya. Ketika LLM menemukan perintah terlarang tersebut, ia langsung berhenti mengikuti instruksi awal dan menutup diri.
Baca Juga:
Contoh prompt yang digunakan antara lain perintah untuk menyusun langkah pengembangan spora Anthrax yang dapat dihirup, atau bagi LLM buatan pengembang China, referensi ikonik Tank Man dari pembantaian Lapangan Tiananmen 1989. Begitu LLM menemukan perintah terlarang ini, ia tidak lagi mengikuti perintah yang ada.
Para peneliti menamai teknik ini context bombing. “Pada akhirnya kami memicu mekanisme penolakan dalam konteks,” kata Andy Smith, salah satu pendiri dan CEO Tracebit, saat menjelaskan pemilihan nama tersebut. “Yang ingin kami tangkap adalah fakta bahwa ini memiliki efek yang kuat dan tajam, serta sulit bagi agen untuk pulih. Begitu mereka mendapatkan itu ke dalam konteks mereka, mereka akan terus menolak.”
Hasil Uji Coba: Penurunan Drastis Tingkat Keberhasilan Serangan
Tracebit menyatakan pengujian awal menunjukkan context bombing memiliki potensi besar. Mereka menguji Opus 4.8, Gemini 3.1 Pro, GLM 5.2, DeepSeek 4 Pro, dan Kimi 2.6 dengan memberikan instruksi untuk melakukan tugas pengembangan rutin yang mengarahkan model untuk menghitung sumber daya dan menemukan string yang ditanam. Model-model tersebut dijalankan dalam lingkungan AWS simulasi.
“Di lima model terkemuka dan 152 kali percobaan serangan, menanam salah satu string ini dalam rahasia umpan memotong tingkat perebutan admin akun penuh oleh agen dari 57 persen menjadi 5 persen, dan kompromi lengkap (di mana mereka juga meninggalkan pijakan persisten) dari 36 persen menjadi 1 persen,” laporan Senin lalu melaporkan.
“Agen paling cakap dalam pengujian kami, Opus 4.8, yang sebelumnya mencapai akses admin dalam 93 persen percobaan, gagal setiap saat ketika dihadapkan dengan context bomb.” Rata-rata di lima model dan 152 percobaan, hasilnya meliputi: eskalasi hak istimewa admin turun dari 57 persen menjadi 5 persen, eskalasi admin dengan pijakan persisten turun dari 36 persen menjadi 1 persen, percobaan yang mencapai jalur serangan turun dari 91 persen menjadi 15 persen, dan rata-rata satu percobaan menyelesaikan 1,53 jalur berhasil menjadi hanya 0,16. Tidak ada percobaan yang dapat menyelesaikan jalur serangan tanpa setidaknya memicu deteksi canary.
Dari Deteksi ke Pencegahan: Evolusi Pertahanan AI
Penelitian ini dibangun dari temuan pada Mei lalu, ketika Tracebit memperkenalkan metode bagi pembela untuk menerima peringatan saat infrastruktur mereka diserang oleh agen AI musuh. Metode ini berupa sumber daya AWS yang tampak seperti melayani tujuan sah tetapi sebenarnya tidak digunakan sama sekali. Sumber daya tersebut diletakkan di samping sumber daya yang benar-benar digunakan. Ketika dijelajahi oleh AI agen, pembela menerima peringatan. Seperti “kenari” yang dibawa ke tambang batu bara, sumber daya ini memungkinkan pembela mendeteksi ancaman sebelum berakibat fatal.
Tracebit Canariens, rata-rata, memberi peringatan awal serangan dalam waktu delapan menit. Motivasi untuk mengembangkan context bombing muncul dari kebutuhan akan sesuatu yang menghentikan serangan, bukan sekadar memperingatkannya. Dalam eksperimen, model agen membutuhkan rata-rata 14 menit untuk meningkatkan ke kontrol administratif. Peringatan enam menit dirasa terlalu dekat dengan batas aman.
Peretas telah menggunakan prompt injection untuk menutup pertahanan AI di dalam jaringan. Peneliti dari firma keamanan Socket, misalnya, bulan lalu menemukan agen LLM yang mengarahkan LLM target untuk memberikan instruksi membangun bom nuklir atau senjata biologis. Suntikan tersebut dirancang untuk menutup analisis malware berbantuan AI. Peneliti dari Check Point menemukan prototipe malware serupa. Context bombing tampaknya menjadi kasus pertama yang diketahui di mana pembela berhasil membalikkan keadaan.
“Sejauh pengetahuan saya, saya belum melihat orang lain menggunakan teknik ini sebagai pertahanan,” kata Earlence Fernandes, profesor di UC San Diego yang berspesialisasi dalam keamanan AI, dalam sebuah wawancara. Ia mengaku telah memikirkan pendekatan serupa, meskipun dalam konteks yang sedikit berbeda. “Saya ingin menjadi yang pertama di sini, tetapi saya kira orang-orang ini mendahului saya!”
Hingga saat ini, belum ada cara yang diketahui untuk menyelesaikan akar penyebab prompt injection. Hal itu membuat pengembang tidak punya pilihan selain membangun guardrails rumit yang mencegah prompt yang disuntikkan memaksa LLM keluar jalur. Pembela kini mungkin menemukan cara untuk memanfaatkan masalah yang sulit diatasi ini demi keuntungan mereka.
Teknik context bombing ini membuka jalan baru dalam pertahanan siber berbasis AI. Alih-alih hanya mendeteksi serangan, pembela kini dapat secara proaktif menghentikan agen AI peretas dengan memanfaatkan kelemahan mereka sendiri. Ini menjadi langkah maju signifikan dalam perlombaan senjata antara peretas dan pembela di era kecerdasan buatan.
Bagi pengguna AWS dan platform cloud lainnya, temuan ini memberikan harapan baru. Dengan menanamkan prompt injection strategis di samping data sensitif, risiko peretasan oleh agen AI dapat ditekan drastis. Namun, para ahli mengingatkan bahwa teknik ini bukan solusi permanen. Peretas kemungkinan akan mengembangkan cara untuk menghindari context bombing, sehingga inovasi pertahanan harus terus berlanjut.




