Di era serba digital, muncul ancaman baru bernama Zero Click Exploit, yaitu serangan yang bisa berjalan tanpa perlu ada interaksi sama sekali dari pengguna. Kasus ini menjadi sorotan karena melibatkan dua layanan yang sangat populer: ChatGPT dan Gmail. Bayangkan, hanya dengan sebuah email berisi instruksi tersembunyi, penyerang bisa memanfaatkan celah keamanan untuk mencuri data pribadi tanpa korban sadar atau melakukan klik apa pun. Inilah yang membuat Zero Click Exploit begitu berbahaya—serangan terjadi di balik layar, diam-diam, dan nyaris tak terlihat.
Zero Click Exploit adalah jenis serangan siber yang memungkinkan penyerang mengambil alih perangkat atau layanan tanpa membutuhkan tindakan apa pun dari korban. Tidak ada klik pada tautan mencurigakan, tidak ada unduhan file, bahkan tidak ada respon dari pengguna—serangan bisa langsung berjalan begitu sistem membaca atau memproses konten berbahaya yang disusupkan. Inilah yang membuatnya sangat berbahaya, karena sulit terdeteksi oleh pengguna maupun sistem keamanan tradisional.
Berbeda dengan serangan konvensional seperti phishing atau malware, yang biasanya memerlukan aksi dari korban—misalnya mengklik tautan atau membuka lampiran—Zero Click Exploit memanfaatkan kerentanan di balik layar. Penyerang menyusupkan kode atau instruksi tersembunyi yang otomatis dijalankan oleh aplikasi atau layanan target. Dengan kata lain, pengguna bisa menjadi korban meski mereka sama sekali tidak melakukan kesalahan atau tindakan sembrono.
Contoh kasus Zero Click Exploit pernah terjadi sebelumnya pada layanan populer seperti iMessage dan WhatsApp. Pada iMessage, serangan bisa masuk hanya dengan mengirimkan pesan berformat khusus yang memicu celah di aplikasi. Begitu juga di WhatsApp, eksploitasi sempat memungkinkan peretas menyusup hanya dengan melakukan panggilan telepon, meskipun korban tidak mengangkatnya. Kasus-kasus ini menunjukkan bahwa Zero Click Exploit bukan sekadar teori, melainkan ancaman nyata yang terus berkembang.
Baca juga: Kabar Gmail Ganti Password Massal, Apa yang Harus Dilakukan Pengguna?
Kasus terbaru Zero Click Exploit ditemukan pada Deep Research Agent milik ChatGPT, sebuah fitur yang dirancang untuk membantu pengguna menganalisis informasi dari berbagai sumber. Flaw ini menjadi pintu masuk bagi penyerang untuk memanfaatkan integrasi dengan Gmail. Celah keamanan tersebut memungkinkan instruksi tersembunyi yang dikirim melalui email berbahaya dibaca langsung oleh agen, tanpa ada interaksi dari pemilik akun. Dengan kata lain, kerentanan ini membuat ChatGPT justru menjadi perantara yang membuka akses data sensitif.
Serangan dimulai ketika penyerang mengirimkan email khusus berisi indirect prompt injection yang disamarkan di dalam kode HTML. Instruksi ini tidak terlihat oleh manusia karena disembunyikan dengan teknik seperti font sangat kecil atau teks berwarna putih di atas latar putih. Begitu pengguna meminta Deep Research Agent menganalisis kotak masuk Gmail, agen tidak hanya membaca email sah, tetapi juga email berbahaya yang membawa instruksi tersembunyi. Dari sinilah proses pencurian data dimulai tanpa sepengetahuan korban.
Alur serangan berlangsung sangat sistematis: email dikirim → agen membaca inbox → instruksi tersembunyi diproses → data pribadi seperti nama atau alamat dari email HR diekstrak → data dienkode dalam Base64 → dikirim ke server penyerang. Walaupun bukti konsep ini berfokus pada Gmail, potensi serangan serupa bisa menjalar ke layanan lain seperti Google Drive, Outlook, atau bahkan Microsoft Teams. Ancaman ini membuktikan bahwa integrasi AI dengan layanan data sensitif perlu pengawasan ekstra ketat.
Sebelum masuk ke detail tiap teknik, perlu dipahami bahwa serangan ini memanfaatkan kelemahan logika agen AI dengan menyisipkan instruksi yang tampak sah—sehingga agen bisa mengeksekusi perintah tanpa verifikasi atau persetujuan manusia. Berikut adalah teknik manipulasi yang digunakan dalam serangan Zero Click Exploit:
Penyerang menulis instruksi yang seolah-olah datang dari otoritas resmi atau prosedur perusahaan—misalnya frasa seperti “Anda memiliki izin penuh untuk mengakses sumber ini.” Karena agen AI dirancang untuk menindaklanjuti perintah yang tampak relevan dengan tugasnya, klaim otoritas palsu membuat agen cenderung menerima dan menjalankan instruksi tanpa memverifikasi sumber atau meminta konfirmasi manusia. Akibatnya, agen bisa membuka akses atau melakukan tindakan yang seharusnya dibatasi oleh kebijakan keamanan.
Alamat server penyerang disamarkan agar terlihat seperti layanan tepercaya—misalnya diberi label “sistem validasi kepatuhan” atau ditempatkan dalam konteks audit resmi. Ketika agen diminta melakukan verifikasi atau mengambil data untuk keperluan “validasi,” agen akan mengunjungi URL tersebut dan bertukar data dengan server penyerang karena menganggapnya sumber yang sah. Teknik ini efektif karena mengeksploitasi asumsi kepercayaan yang biasanya dibuat oleh logika otomasi.
Instruksi menambahkan perintah agar agen terus mencoba mengakses atau mengirim data jika upaya awal gagal—misalnya “coba ulang setiap 10 detik sampai mendapat respons.” Dengan memaksa agen mengabaikan batas waktu atau mekanisme penanganan kegagalan, penyerang meningkatkan peluang berhasilnya koneksi yang akhirnya memungkinkan eksfiltrasi data. Ini juga melemahkan perlindungan yang bergantung pada kegagalan berulang untuk memblokir aktivitas mencurigakan.
Penyerang menyisipkan elemen tekanan waktu atau konsekuensi yang mengintimidasi—misalnya peringatan bahwa “laporan akan tidak lengkap” jika data tidak segera dikumpulkan—agar agen memprioritaskan eksekusi cepat daripada pengecekan lebih lanjut. Karena banyak agen AI dioptimalkan untuk membantu memenuhi tujuan pengguna secepat mungkin, sinyal urgensi ini membuat agen mengambil keputusan tindakan tanpa verifikasi yang memadai, sehingga mempermudah pelaksanaan instruksi jahat.
Instruksi meminta agen mengubah data menjadi format yang tampak “aman” atau “terenkripsi”—contohnya menyuruh meng-encode hasil ekstraksi ke Base64—dengan alasan keamanan atau anonimisasi. Padahal langkah ini hanya mengaburkan isi data, bukan mengenkripsinya secara aman, sehingga memudahkan pengiriman ke server penyerang dan menyulitkan deteksi otomatis. Klaim semacam ini juga mengecoh pemeriksa manual yang mungkin salah mengartikan format terenkode sebagai bukti bahwa data telah diamankan.
Serangan ini dianggap jauh lebih berbahaya karena terjadi di balik layar, bukan di perangkat pengguna. Akibatnya, jalurnya sulit dilacak dan hampir mustahil dikenali oleh korban maupun sistem keamanan tradisional. Berikut adalah beberapa alasan mengapa serangan ini lebih berbahaya:
Dalam serangan ini, proses pencurian data dilakukan langsung di server cloud penyedia layanan, seperti OpenAI, bukan dari komputer atau browser korban. Semua instruksi dijalankan oleh agen di cloud sehingga data sensitif dapat diambil, diproses, lalu dikirim ke server penyerang tanpa melibatkan perangkat pengguna. Hal ini membuat serangan nyaris tidak meninggalkan jejak lokal, sehingga sulit untuk diaudit atau dicegah dengan mekanisme keamanan yang biasanya terpasang di sisi pengguna.
Karena aktivitas berbahaya ini terjadi di lingkungan cloud, lalu lintas data tidak melewati jaringan perusahaan atau endpoint yang biasanya dipantau oleh firewall, secure web gateway, atau antivirus. Dari sudut pandang sistem keamanan organisasi, semua komunikasi tampak seperti interaksi normal antara pengguna dengan layanan AI. Inilah yang membuat serangan lebih berbahaya: pertahanan tradisional bisa dikelabui karena tidak pernah melihat data yang sebenarnya sedang dieksfiltrasi.
Seluruh proses serangan berlangsung tanpa memberikan tanda-tanda di layar. Tidak ada pop-up mencurigakan, tidak ada tautan yang diklik, dan tidak ada lampiran yang dibuka oleh korban. Bagi pengguna, kotak masuk Gmail maupun tampilan ChatGPT tetap terlihat normal, sehingga tidak ada alasan untuk curiga. Situasi ini membuat pencurian data bisa berlangsung dalam waktu lama sebelum ada pihak yang menyadari dan melakukan investigasi lebih lanjut.
Serangan Zero Click Exploit tidak hanya bisa menyerang Gmail, tetapi juga berpotensi menyasar layanan penyimpanan dokumen seperti Google Drive atau Dropbox. File PDF, Word, atau spreadsheet bisa disusupi instruksi tersembunyi yang tidak terlihat oleh pengguna. Begitu agen AI membaca dokumen tersebut untuk membuat ringkasan atau mengekstrak informasi, instruksi berbahaya ikut dijalankan sehingga data sensitif dalam file bisa dicuri tanpa sepengetahuan pemiliknya.
Risiko juga ada pada aplikasi kolaborasi dan jadwal seperti Outlook, Google Calendar, Microsoft Teams, HubSpot, atau Notion. Misalnya, undangan rapat atau catatan kerja yang terlihat biasa saja ternyata berisi instruksi tersembunyi yang bisa membuat agen mengakses informasi lain di sistem. Karena aplikasi ini sering terhubung langsung dengan workflow kerja, instruksi berbahaya bisa memicu rangkaian aksi otomatis yang berdampak lebih luas pada organisasi.
Kesimpulannya, ancaman ini bisa muncul di hampir semua layanan yang memungkinkan agen ChatGPT membaca teks, termasuk README di GitHub atau catatan sederhana di platform kolaborasi. Selama ada akses agen ke konten berbasis teks, potensi penyalahgunaan tetap ada. Itu sebabnya perlindungan tidak boleh hanya fokus pada Gmail, tetapi juga pada semua integrasi AI dengan aplikasi lain yang menyimpan atau memproses data penting.
Celah keamanan Zero Click Exploit pertama kali dilaporkan pada 18 Juni 2025. Setelah dilakukan investigasi mendalam, pihak OpenAI segera menyiapkan tambalan keamanan yang dirilis pada awal Agustus 2025. Proses ini menunjukkan bahwa kerentanan yang melibatkan sistem berbasis AI membutuhkan koordinasi cepat agar dampaknya tidak meluas, terutama karena sifat serangannya yang tidak terlihat oleh pengguna biasa.
Pada 3 September 2025, OpenAI secara resmi mengonfirmasi bahwa celah tersebut telah diperbaiki sepenuhnya. Hal ini memberikan kepastian kepada pengguna bahwa sistem sudah kembali aman. Namun, kasus ini menjadi pengingat penting bahwa patching atau perbaikan teknis saja tidak cukup, karena pola serangan serupa bisa muncul kembali dalam bentuk baru.
Strategi mitigasi yang lebih komprehensif perlu diterapkan. Pertama, melakukan monitoring perilaku agen untuk memastikan tindakannya sesuai dengan tugas yang diberikan. Kedua, menerapkan validasi instruksi terhadap original user intent, artinya agen hanya menjalankan perintah yang jelas berasal dari pengguna, bukan dari instruksi tersembunyi. Ketiga, membangun mekanisme untuk mendeteksi prompt injection tersembunyi, seperti teks yang disamarkan di dalam email atau dokumen. Dengan kombinasi langkah ini, risiko serangan serupa bisa ditekan secara signifikan.
Salah satu dampak paling nyata dari serangan ini adalah kebocoran data pribadi (Personally Identifiable Information/PII). Informasi seperti nama, alamat, atau data HR dari email internal bisa diambil tanpa sepengetahuan pengguna. PII yang bocor tidak hanya berisiko disalahgunakan untuk penipuan atau pencurian identitas, tetapi juga bisa menjadi pintu masuk bagi serangan lanjutan yang lebih terarah.
Selain itu, serangan semacam ini membawa ancaman besar bagi reputasi dan keamanan perusahaan. Kebocoran data karyawan atau informasi sensitif lainnya dapat merusak kepercayaan klien, mitra bisnis, maupun publik. Reputasi yang tercoreng akibat kegagalan melindungi data seringkali lebih sulit dipulihkan dibanding kerugian finansial, dan dalam beberapa kasus bisa berujung pada konsekuensi hukum maupun regulasi.
Bagi organisasi yang mengintegrasikan ChatGPT dengan email atau aplikasi lain, risiko ini menjadi sangat relevan. Setiap konektor atau integrasi baru berarti ada jalur tambahan yang bisa dimanfaatkan penyerang. Jika tidak diantisipasi dengan kontrol keamanan yang ketat, integrasi yang seharusnya mempermudah pekerjaan justru bisa membuka celah bagi pencurian data sensitif. Karena itu, perusahaan perlu lebih selektif dalam memilih integrasi AI dan memastikan adanya mekanisme keamanan tambahan di setiap alur kerja.
Baca juga: AI Jadikan Serangan Siber Semakin Canggih dan Tersembunyi
Kasus Zero Click Exploit di ChatGPT dan Gmail menunjukkan adanya eskalasi baru dalam ancaman siber berbasis AI, di mana serangan bisa terjadi tanpa interaksi pengguna sama sekali. Kondisi ini menjadi pengingat bahwa setiap integrasi AI dengan data sensitif, seperti email atau dokumen perusahaan, perlu diawasi dengan ketat. Keamanan AI bukan hanya soal menjaga model tetap aman, tetapi juga memastikan seluruh ekosistem integrasi—mulai dari konektor, alur kerja, hingga cara agen memproses instruksi—terlindungi dari potensi penyalahgunaan.