Grok digunakan di balik layar: Analisis penyalahgunaan rantai izin Agen AI

Tulisan: Tim Keamanan Manajemen Lem

Latar Belakang

Baru-baru ini, terjadi insiden penyalahgunaan hak akses terkait penggabungan AI Agent dan sistem perdagangan otomatis di jaringan Base.

Penyerang mengirimkan konten yang dirancang khusus ke @grok di platform X, memancing keluarnya perintah transfer yang dikenali oleh agen perdagangan eksternal (@bankrbot), yang akhirnya menyebabkan transfer aset nyata di blockchain.

Tentang “Dompet Grok”:

Alamat yang ditandai sebagai “Dompet Grok” dalam insiden ini (0xb1058c959987e3513600eb5b4fd82aeee2a0e4f9) tidak dimiliki oleh xAI secara resmi. Alamat ini adalah dompet terkait yang secara otomatis dibuat oleh @bankrbot untuk akun X @grok, dengan kunci privat yang dipegang oleh layanan dompet pihak ketiga yang didukung oleh Bankr, dan kendali sebenarnya berada di tangan Bankr. BaseScan telah memperbaiki label alamat tersebut dari “Grok” menjadi Bankr 1 dan identifikasi terkait lainnya.

()

Dompet ini memegang sejumlah besar DRB (sekitar 3 miliar token), yang juga berasal dari mekanisme desain Bankr: awal tahun ini, seorang pengguna menanyakan saran penamaan token kepada Grok, dan Grok menjawab “DebtReliefBot” (disingkat DRB). Selanjutnya, sistem Bankr menginterpretasikan jawaban tersebut sebagai sinyal peluncuran, memicu proses pembuatan token terkait di jaringan Base, dan sesuai aturan Launchpad-nya, membagikan bagian pencipta kepada dompet terkait tersebut.

Proses Serangan

Serangan ini terdiri dari dua tahap utama: peningkatan hak akses dan injeksi perintah, membentuk rantai lengkap “input tidak terpercaya → output AI → eksekusi agen eksternal → transfer aset”.

1. Tahap Peningkatan Hak Akses

Penyerang (alamat terkait ilhamrafli.base.eth) melalui mekanisme terpusat mengaktifkan keanggotaan Bankr Club untuk dompet tersebut. Tindakan ini membuka akses ke alat berhak tinggi (@bankrbot), menyediakan hak yang diperlukan untuk eksekusi transfer selanjutnya.

2. Tahap Eksekusi Injeksi Prompt

Penyerang mengirimkan kode Morse yang dirancang khusus ke @grok. Grok menerjemahkan/meng-dekode sesuai permintaan pengguna, dan mengeluarkan instruksi dalam teks terang serta @bankrbot. @bankrbot menganggap balasan publik Grok sebagai perintah yang valid dan dapat dieksekusi, langsung memulai transfer di jaringan Base.

()

Penyerang kemudian dengan cepat menukar DRB menjadi USDC/ETH. Setelah serangan selesai, akun terkait menghapus konten dan offline dengan cepat.

Keunggulan serangan ini terletak pada pemanfaatan sifat “respon membantu” Grok, yang memungkinkan melewati filter sumber perintah biasa dari @bankrbot, membangun siklus tertutup antara output AI dan eksekusi di blockchain.

Situasi Pemulihan Dana

Setelah kejadian, komunitas dan tim Bankr melacak bahwa sekitar 80%–88% nilai dana telah kembali melalui negosiasi (terutama dalam bentuk USDC dan ETH). Sisanya, menurut pihak terkait, diproses sebagai bug bounty tidak resmi. @bankrbot telah mengonfirmasi detail serangan secara terbuka dan mengambil langkah-langkah pembatasan yang sesuai.

Analisis Penyebab Utama

Kelemahan Model Kepercayaan: Bankrbot secara langsung memetakan output bahasa alami Grok ke perintah keuangan yang dapat dieksekusi, tanpa memverifikasi sumber perintah, niat asli, atau pola abnormal (seperti kode Morse dan encoding non-standar).

Kurangnya Isolasi Hak: Keanggotaan langsung memberikan hak alat berisiko tinggi, tanpa konfirmasi kedua atau batasan kuota.

Batas Antara Agen Tidak Jelas: Grok sebagai AI percakapan seharusnya outputnya tidak setara dengan otorisasi keuangan, tetapi lapisan eksekusi di bawahnya menganggapnya sebagai sinyal terpercaya.

Risiko Penanganan Input: LLM rentan terhadap injeksi prompt atau bypass filter keamanan melalui encoding non-standar, yang sudah dikenal, tetapi saat digabungkan dengan lapisan eksekusi aset nyata, dapat menyebabkan kerugian besar.

Perlu ditekankan bahwa Grok sendiri tidak memegang kunci privat atau melakukan operasi langsung di blockchain; ia lebih seperti bagian tengah yang dimanfaatkan, sedangkan pelaku eksekusi sebenarnya adalah sistem perdagangan otomatis @bankrbot.

Pelajaran Keamanan

Insiden ini memberikan pelajaran penting untuk bidang AI + Crypto Agent:

Output bahasa alami harus dipisahkan secara ketat dari tindakan keuangan;

Operasi bernilai tinggi harus melibatkan verifikasi multi-langkah, kontrol kuota, deteksi anomali (jenis encoding, batas jumlah, daftar putih sumber, dll);

Interaksi antar Agen harus mengutamakan protokol terstruktur dan dapat diverifikasi, bukan instruksi teks murni;

Ancaman injeksi prompt harus dipertimbangkan dalam desain seluruh rantai Agen, termasuk potensi pemanfaatan kemampuan AI lain secara tidak langsung.

Ringkasan

Ini adalah insiden keamanan rantai hak akses AI Agent yang khas. Meski Grok dimanfaatkan melalui Prompt Injection, akar masalahnya terletak pada sistem Bankrbot yang menghubungkan output AI dengan lapisan eksekusi aset nyata secara longgar. Kejadian ini menjadi contoh praktis yang sangat berharga di bidang AI + Crypto Agent dan mengirimkan sinyal penting: ketika Agent diberikan kemampuan eksekusi di blockchain, harus dibangun batas kepercayaan dan mekanisme pengendalian keamanan yang ketat. Ke depan, desain infrastruktur terkait harus terus diperkuat untuk menghadapi pola serangan baru yang melintasi sistem dan batas semantik ini.