Bagaimana Bot Menyerang Model Bahasa Besar: OWASP LLM Top 10
Bot dan AI telah lama berjalan beriringan. Tes CAPTCHA pertama kali diciptakan untuk menghalangi bot dengan memberikan tantangan yang mudah diselesaikan manusia tetapi sulit bagi AI—konsep ini mengacu pada publikasi Alan Turing tahun 1950 tentang kecerdasan komputer. Belakangan ini, perusahaan keamanan seperti F5 menggunakan AI untuk mendeteksi bot, sementara pembuat bot menggunakan AI untuk menghindari deteksi dan menyelesaikan CAPTCHA. Dengan hadirnya AI generatif, keterkaitan antara bot dan AI terus berkembang, seperti bot yang mengekstraksi konten dari Internet untuk “memberi makan” model bahasa besar (LLM) dan agen AI—yang pada dasarnya adalah bot cerdas—yang berinteraksi dengan aplikasi secara tidak terduga. Keterkaitan ini juga terlihat dalam daftar 10 Risiko dan Mitigasi Teratas untuk LLM dan Aplikasi Gen AI tahun 2025 dari OWASP.
Penyerang hampir selalu menggunakan bot dalam berbagai bentuk untuk menskalakan serangan siber terhadap LLM, sehingga memitigasi bot berarti menghapus alat penting dari gudang senjata para penjahat siber.
Bot memang bukan satu-satunya cara mengeksploitasi kerentanan LLM. Keamanan LLM adalah bidang yang kompleks dan berkembang cepat dalam keamanan siber, dan menyederhanakannya hanya ke satu penyebab atau solusi adalah kesalahan. Namun, karena bot sering digunakan untuk menskalakan serangan, mengurangi penggunaan bot berarti mengurangi potensi serangan yang signifikan.
Untuk memahami mengapa mitigasi bot sama pentingnya bagi keamanan LLM seperti halnya untuk web, aplikasi seluler, dan keamanan API, mari kita telaah OWASP Top 10 Risiko Keamanan LLM tahun 2025 dan bagaimana penyerang dapat menggunakan bot untuk mengeksploitasi setiap kerentanannya:
1. Prompt Injection
Serangan prompt injection bertujuan mengubah perilaku LLM secara berbahaya, yang menurut OWASP dapat menyebabkan model “melanggar pedoman, menghasilkan konten berbahaya, memberikan akses tidak sah, atau mempengaruhi keputusan penting.” Untuk mengubah perilaku model, penyerang mungkin perlu menyuntikkan banyak prompt—membanjiri model dengan prompt berbahaya untuk memaksimalkan dampak atau menemukan prompt yang berhasil. Untuk melakukannya dalam jumlah besar, penyerang membutuhkan bot untuk otomatisasi.
2. Pengungkapan Informasi Sensitif
Untuk memberikan nilai bisnis, banyak organisasi melatih LLM menggunakan data internal mereka, yang bisa berisi informasi sensitif seperti data pribadi atau rahasia dagang. Penyerang akan mencoba mengeksplorasi model-model ini untuk menemukan data tersebut. Karena mereka mungkin tidak tahu apa yang dicari atau bagaimana memintanya, mereka bisa menggunakan pendekatan brute force dengan mengirim banyak prompt. Untuk menskalakan serangan ini, bot akan digunakan.
3. Rantai Pasokan (Supply Chain)
LLM bergantung pada data pelatihan, model dasar, dan platform penyebaran. Penyerang dapat menyerang LLM dengan mengeksploitasi komponen rantai pasokan ini. Mereka bisa menggunakan bot untuk memanipulasi data, melakukan serangan credential stuffing, phishing real-time, dan menguji kerentanan otorisasi.
4. Peracunan Data dan Model (Data & Model Poisoning)
Penyerang memanipulasi data pelatihan atau fine-tuning untuk menambahkan kerentanan, backdoor, atau bias. Ini dapat mengganggu keamanan, performa, atau etika model. Untuk menyusupkan data palsu atau menembus otentikasi, bot sangat umum digunakan.
5. Penanganan Output yang Tidak Tepat
Jika output LLM tidak diperiksa dengan benar, sistem yang bergantung padanya bisa diserang. Contoh: XSS, CSRF, SSRF, eskalasi hak akses, atau eksekusi kode dari jarak jauh. Penyerang dapat menggunakan otomatisasi/bot untuk menguji banyak variasi input dan memeriksa apakah output menyebabkan kerusakan pada aplikasi downstream.
6. Akses Berlebih (Excessive Agency)
Akses berlebih adalah bentuk eskalasi hak istimewa melalui sistem berbasis LLM. Penyerang mungkin tidak tahu di mana hak istimewa itu berada, jadi mereka akan menggunakan bot untuk mencoba berbagai prompt sampai berhasil mengeksploitasi hak tersebut.
7. Kebocoran Prompt Sistem (System Prompt Leakage)
LLM sering menerima instruksi sistem (system prompt) yang bisa berisi rahasia perusahaan seperti koneksi database, kode proprietary, atau IP. Menyebabkan kebocoran ini memerlukan skrip otomatis agar lebih efektif dalam memancing informasi sensitif tersebut keluar dari LLM.
8. Kelemahan pada Vektor dan Embedding
LLM sering menggunakan teknik RAG (Retrieval-Augmented Generation) yang melibatkan vektor dan metadata. Kelemahan dalam pembuatan, penyimpanan, atau pengambilan vektor ini dapat dieksploitasi untuk menyisipkan konten berbahaya, memanipulasi output, atau mengakses informasi sensitif. Karena setiap organisasi memiliki skema RAG yang unik, penyerang akan memerlukan bot untuk mengeksplorasi dan menemukan celah tersebut.
9. Misinformasi
LLM dapat menghasilkan informasi salah (hallucination) atau bias. Penyerang bisa memanfaatkan ini dengan mengotomatisasi proses pembuatan dan analisis output. Contoh: Penyerang menggunakan LLM untuk menghasilkan kode dengan pustaka fiktif, lalu mereka membuat pustaka berbahaya dengan nama tersebut dan memasukkannya ke repositori publik. Jika output LLM tidak ditinjau dengan benar, pustaka tersebut bisa digunakan dalam produk akhir.
Bot juga bisa digunakan untuk memanipulasi data pelatihan secara masif, memicu bias atau misinformasi sistematis.
10. Konsumsi Tak Terbatas (Unbounded Consumption)
Risiko terakhir serupa dengan serangan DoS (Denial of Service). Penyerang mengirim permintaan dalam jumlah sangat besar hingga layanan inference overload, menyebabkan gangguan, penurunan performa, dan biaya tinggi. Karena LLM memerlukan sumber daya komputasi besar, mereka rentan terhadap eksploitasi konsumsi sumber daya, dan bot adalah alat utama untuk menyerang melalui volume besar permintaan.
Menerapkan Perlindungan terhadap Bot
Dengan tekanan besar pada organisasi untuk segera menerapkan AI ke pasar—sementara risiko keamanannya belum sepenuhnya dipahami—organisasi sebaiknya memasang proteksi bot di depan aplikasi berbasis LLM maupun aplikasi yang memberi data kepada LLM.
Semakin banyak serangan yang bisa dilakukan penyerang, semakin besar peluang keberhasilannya. F5 menawarkan layanan proteksi bot yang efektif, yaitu F5 Distributed Cloud Bot Defense, yang dibangun dengan AI untuk membantu organisasi menangkal serangan bot dan otomasi terhadap aplikasi LLM.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan F5 Indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi f5.ilogoindonesia.id untuk informasi lebih lanjut!