Serangan Siber HashJack Bikin Situs Terpercaya Jadi Senjata Berbahaya

Liputan6.com, Jakarta – Para peneliti keamanan siber memperingati pengguna browser berbasis AI, di mana mereka telah mengungkap serangan siber baru bernama HashJack. Serangan ini dapat memanipulasi peramban AI dan mencuri data tanpa disadari.

HashJack merupakan teknik indirect prompt injection yang diungkapkan oleh tim intelijen ancaman Cato CTRL.

Dilansir ZDnet, Jumat (28/11/2025), dalam laporan Catonetworks, peneliti mengatakan serangan ini dapat mempersenjatai situs web resmi mana pun untuk memanipulasi asisten peramban AI.

Serangan ini berada di sisi klien dan memanfaatkan kepercayaan pengguna untuk mengakses asisten browser AI. HashJack dijalankan melalui lima tahap, yaitu:

Instruksi berbahaya dibuat dan disembunyikan sebagai fragmen URL setelah simbol “#” (pagar) di URL resmi yang mengarah ke situs web asli dan terpercaya.
Tautan yang dibuat kemudian disebar melalui media sosial atau disematkan dalam konten web.
Korban mengklik tautan tersebut tanpa mencurigai apa pun karena situs yang dikunjungi terlihat normal.
Serangan aktif ketika pengguna membuka asisten AI di browser untuk mengajukan pertanyaan atau perintah.
Perintah tersembunyi kemudian dibaca oleh asisten AI, yang dapat menyajikan konten berbahaya seperti tautan phishing atau menjalankan tugas berisiko di latar belakang pada browser dengan kemampuan agen (agentic browser).

Cato mengatakan dalam agen browser AI seperti Perplexity Comet, serangan dapat meningkat menjadi pencurian data otomatis. Asisten AI bisa dipaksa mengirimkan data pengguna ke server yang dikendalikan pelaku.