Asisten AI Gemini milik Google dilaporkan sempat memiliki celah keamanan yang bisa dimanfaatkan lewat aplikasi pesan. Celah ini memungkinkan penyerang menyisipkan instruksi tersembunyi ke dalam notifikasi, lalu memengaruhi cara Gemini merespons tanpa disadari pengguna.
Risiko utamanya bukan sekadar pesan spam biasa, melainkan manipulasi konteks kerja AI. Dalam skenario tertentu, Gemini dapat membacakan atau menampilkan informasi yang sudah dipelintir, sehingga pengguna terdorong mengambil tindakan berdasarkan instruksi palsu.
Serangan lewat notifikasi pesan
Temuan ini diungkap peneliti SafeBreach Labs yang mendapati serangan indirect prompt injection dapat dikirim melalui pesan normal. Media yang disebut mencakup SMS, WhatsApp, Slack, Signal, Instagram, Messenger, dan layanan serupa.
Menurut SafeBreach Labs, pesan tersebut membawa instruksi berbahaya yang disembunyikan di balik notifikasi biasa. Saat Gemini memproses notifikasi yang sudah “diracuni”, sistem AI itu bisa memasukkan instruksi tersebut ke dalam konteks kerjanya.
Kondisi itu membuat percakapan dengan asisten AI dapat terpengaruh tanpa tanda yang jelas bagi pengguna. Akibatnya, keluaran Gemini bisa berubah dan dipakai untuk mengelabui korban agar mengikuti arahan yang lebih berbahaya.
Salah satu skenario yang disorot adalah ketika penyerang mengetahui nama atasan korban. Penyerang lalu dapat mengirim pesan WhatsApp berbahaya yang membuat Gemini mengumumkan pesan tertentu saat diminta membacakan notifikasi.
Situasi seperti itu dinilai berisiko karena pengguna cenderung mempercayai instruksi suara dari asisten digital. Ancaman meningkat ketika pengguna tidak sedang melihat layar ponsel, misalnya saat mengemudi.
Bisa meniru kontak sungguhan
SafeBreach Labs juga menunjukkan bahwa serangan ini tidak selalu memerlukan informasi spesifik tentang korban. Instruksi yang disisipkan dapat memerintahkan Gemini memilih nama pengirim asli dari notifikasi terbaru, lalu menempelkan pesan palsu pada identitas tersebut.
Metode itu membuka peluang peniruan kontak nyata secara otomatis. Dengan kata lain, pengguna bisa menerima keluaran dari Gemini yang tampak seolah berasal dari orang yang benar-benar ada di daftar notifikasi mereka.
Karena berbasis pada konteks notifikasi terbaru, serangan semacam ini berpotensi terlihat meyakinkan. Pengguna bisa saja menganggap informasi yang dibacakan Gemini sah, padahal isinya telah dimanipulasi lebih dulu.
Temuan ini menyoroti tantangan baru dalam keamanan asisten AI yang terhubung ke banyak sumber data. Masalahnya bukan hanya isi pesan yang masuk, tetapi bagaimana model AI menafsirkan dan memadukan informasi di balik layar.
Google disebut sudah menerapkan mitigasi
Kabar baiknya, Google disebut sudah menyiapkan perbaikan setelah menerima laporan dari peneliti. SafeBreach Labs melaporkan celah ini ke Google Vulnerability Reward Program pada 17 Agustus 2025.
Or Yair, Security Research Team Lead di SafeBreach Labs, mengatakan Google kemudian mengonfirmasi mitigasi atas masalah tersebut. Pada 14 November 2025, menurut dia, Google menyatakan peningkatan terbaru pada content classifier telah berhasil mengurangi skenario indirect prompt injection dan delayed tool invocation yang dijelaskan dalam riset itu.
Pernyataan tersebut menunjukkan masalah ini tidak dibiarkan tanpa respons. Namun, kasus ini tetap menjadi pengingat bahwa sistem AI yang memproses notifikasi atau pesan lintas aplikasi membutuhkan lapisan pertahanan yang lebih ketat.
Content classifier berperan penting karena menjadi penyaring awal terhadap konten yang masuk ke sistem. Jika instruksi berbahaya bisa dikenali lebih cepat, peluang AI mengikuti perintah tersembunyi dapat ditekan.
Mengapa kasus ini penting
Celah seperti ini menarik perhatian karena menyerang titik yang terasa biasa bagi pengguna, yakni notifikasi pesan. Serangan tidak mengandalkan antarmuka yang mencurigakan, tetapi memanfaatkan kepercayaan pada asisten digital yang dirancang untuk membantu pekerjaan harian.
Dalam praktiknya, banyak orang memakai asisten suara untuk membaca pesan saat tangan sibuk atau mata tidak menatap layar. Pola penggunaan seperti itu membuat manipulasi konteks menjadi lebih berbahaya karena verifikasi visual sering kali tidak terjadi.
Kasus ini juga memperlihatkan bahwa prompt injection tidak selalu datang dari interaksi langsung dengan chatbot. Instruksi bisa disisipkan secara tidak langsung melalui saluran yang tampak normal, lalu memengaruhi keputusan model ketika sedang menjalankan fungsi lain.
Bagi ekosistem AI, pelajaran utamanya ada pada pengelolaan konteks dan batas kepercayaan terhadap data eksternal. Pesan, notifikasi, dan informasi dari aplikasi lain perlu diperlakukan sebagai input yang berpotensi berbahaya, bukan sekadar data pendukung.
SafeBreach Labs telah mempublikasikan penjabaran teknis lebih rinci mengenai kerentanan tersebut di blog mereka. Sementara itu, respons Google menunjukkan bahwa perlombaan antara kemampuan AI dan teknik serangan baru akan terus berlangsung, terutama ketika asisten digital makin terhubung dengan aplikasi komunikasi sehari-hari.
