JagoSatu.com - Gemini for Workspace baru saja tersandung masalah yang cukup serius. Peneliti keamanan menemukan celah yang memungkinkan penyerang menyisipkan perintah berbahaya ke dalam email hanya dengan memanfaatkan HTML dan CSS. Tanpa perlu tautan, skrip, atau lampiran mencurigakan, serangan ini memanfaatkan teknik manipulatif seperti teks tersembunyi berwarna putih di atas latar putih atau font berukuran nol. Celakanya, saat pengguna meminta Gemini untuk meringkas email tersebut, AI ini justru menampilkan pesan berbahaya yang disamarkan seolah berasal dari Google sendiri.
Menurut laporan dari CyberSecurityNews.com, muatan tersembunyi tersebut disisipkan di dalam tag seperti <Admin> dan diformat agar tidak terlihat oleh mata manusia. Namun, Gemini tetap membacanya dan menganggapnya sebagai bagian dari isi email. Hasilnya, pengguna bisa saja menerima ringkasan yang berisi peringatan palsu, termasuk arahan untuk menghubungi nomor dukungan fiktif atau mengunjungi situs phishing. Ini membuka peluang besar bagi penipuan, terutama jika pengguna lebih percaya pada ringkasan AI ketimbang isi email aslinya.
Yang lebih mengkhawatirkan, eksploitasi semacam ini tak hanya terbatas di Gmail. Karena Gemini juga terhubung dengan layanan lain seperti Google Docs, Slide, dan Drive, potensi penyalahgunaan ini bisa meluas ke seluruh ekosistem Workspace. Para ahli bahkan memperingatkan tentang skenario "AI worm", di mana serangan bisa menyebar dari satu dokumen ke dokumen lainnya secara otomatis—sesuatu yang dulu hanya ada di film fiksi ilmiah.
Google sendiri masih dalam proses memperbaiki celah ini. Beberapa langkah mitigasi yang disarankan termasuk menyaring HTML berbahaya, menandai ringkasan yang tampak mencurigakan, dan membuat batas yang jelas antara isi asli email dan hasil keluaran Gemini. Yang tak kalah penting, pengawasan harus dilakukan bukan hanya pada data yang masuk ke AI, tetapi juga terhadap apa yang dihasilkannya—karena dalam konteks keamanan, output AI bisa sama resikonya dengan input yang berbahaya.
Apa pendapat kamu soal insiden ini? Apakah AI seperti Gemini sudah cukup siap untuk masuk ke ekosistem kerja digital kita, atau justru menambah celah keamanan baru? (tmtiwow)
Editor : Toar Rotulung