Selama beberapa dekade, penyerang memiliki keunggulan dalam keamanan siber. Kecerdasan buatan mungkin akan mengubahnya.

Dalam postingan blog yang diterbitkan pada hari Selasa, pengembang browser Firefox Mozilla menyatakan bahwa versi awal AI Claude Mythos milik Anthropic—yang telah menarik perhatian dalam beberapa minggu terakhir karena kehebatannya dalam keamanan siber—membantu mengidentifikasi 271 kerentanan di browser selama pengujian internal. Bug-bug tersebut telah ditambal minggu ini.

Hasilnya menyoroti bagaimana sistem AI canggih dapat menganalisis basis kode (codebase) besar dan menemukan kelemahan yang sebelumnya memerlukan tinjauan manual ekstensif oleh peneliti keamanan siber manusia.

“Seiring dengan kemampuan ini mencapai tangan lebih banyak pihak pertahanan, banyak tim lain kini merasakan vertigo yang sama seperti yang kami rasakan saat temuan-temuan itu mulai terungkap,” tulis Mozilla. “Untuk target yang sudah diperkuat, satu bug saja akan menjadi peringatan merah di tahun 2025, dan begitu banyaknya sekaligus membuat Anda bertanya-tanya apakah mungkin untuk mengimbanginya.”

Mozilla sebelumnya telah menguji model Anthropic lain yang mengidentifikasi 22 bug sensitif keamanan dalam rilis Firefox sebelumnya. Terlepas dari keberhasilan ini, Mozilla mengakui bahwa industri keamanan siber telah lama menganggap eliminasi total eksploitasi perangkat lunak sebagai “tujuan yang tidak realistis.”

“Sampai sekarang, industri sebagian besar telah berjuang dalam keamanan secara imbang,” tulis perusahaan itu. “Vendor perangkat lunak krusial yang terpapar internet seperti Firefox sangat serius dalam menjaga keamanan dan memiliki tim orang yang setiap pagi memikirkan cara menjaga pengguna tetap aman.”

Mozilla menyatakan bahwa sistem AI baru ini dapat menganalisis kode sumber (source code) dan mengidentifikasi kerentanan dengan cara yang sebelumnya bergantung pada keahlian manusia yang langka. Namun, Mozilla mengatakan perusahaan merasa terdorong karena tidak ada bug yang ditemukan yang tidak dapat ditemukan oleh "peneliti manusia elit."

"Beberapa komentator memprediksi bahwa model AI di masa depan akan mengungkap bentuk kerentanan yang sama sekali baru yang menentang pemahaman kita saat ini, tetapi kami tidak berpikir demikian," kata mereka. "Perangkat lunak seperti Firefox dirancang secara modular agar manusia dapat memahami kebenarannya. Ini kompleks, tetapi tidak secara sewenang-wenang kompleks."

Namun, hasil ini menunjukkan bahwa alat AI dapat memungkinkan pengembang untuk mengungkap sejumlah besar kerentanan sebelum penyerang mengeksploitasinya—meskipun sebaliknya, jika jatuh ke tangan yang salah, hal itu dapat menimbulkan masalah besar bagi perusahaan perangkat lunak dan pengguna.

Diluncurkan pada bulan Maret, Mythos adalah model Anthropic yang paling canggih untuk tugas-tugas penalaran, pengkodean, dan keamanan siber. Materi internal perusahaan menggambarkan sistem ini sebagai bagian dari tingkatan model baru di luar seri Opus perusahaan sebelumnya.

Pengujian yang dilakukan sebelum rilis model menunjukkan bahwa ia dapat mengidentifikasi ribuan kerentanan yang sebelumnya tidak diketahui di seluruh sistem operasi utama dan peramban web.

Anthropic telah membatasi akses ke sistem tersebut melalui program terbatas yang disebut Project Glasswing, yang memberikan kemampuan kepada perusahaan teknologi terpilih—termasuk Amazon, Apple, dan Microsoft—untuk menggunakan model tersebut dalam memindai perangkat lunak guna mencari kelemahan. Ini mencerminkan upaya yang berkembang dalam industri keamanan siber untuk menggunakan sistem AI guna mengidentifikasi dan menambal kerentanan sebelum penyerang dapat mengeksploitasinya.

Namun, teknologi yang sama juga dapat memungkinkan bentuk serangan siber baru. Peneliti keamanan mengatakan sistem AI yang mampu menganalisis kode dalam skala besar dapat mengotomatiskan penemuan kerentanan yang dapat dieksploitasi di seluruh perangkat lunak yang banyak digunakan.

Setelah peluncuran Mythos, pengujian oleh AI Security Institute Inggris menemukan bahwa AI tersebut dapat secara mandiri melakukan operasi siber yang kompleks, termasuk menyelesaikan simulasi serangan jaringan korporat multi-tahap tanpa bantuan manusia. Kemampuan tersebut telah menarik perhatian dari pemerintah dan lembaga intelijen.

Meskipun ada seruan dari pemerintahan Presiden Donald Trump untuk menghentikan penggunaan teknologi Anthropic karena pertentangan atas penggunaannya dalam masalah perang dan pengawasan, pada hari Senin, National Security Agency (NSA) terungkap menjalankan Claude Mythos Preview pada jaringan rahasia, menurut sumber yang akrab dengan penerapannya. Penggunaan Mythos menggarisbawahi minat yang berkembang di kalangan lembaga keamanan AS terhadap kemampuan model tersebut dalam mengidentifikasi kerentanan perangkat lunak yang kritis.

Kinerja model tersebut juga telah mengungkap batasan dalam sistem evaluasi AI yang ada. Awal bulan ini, Anthropic mengakui bahwa beberapa benchmark keamanan siber tidak lagi cukup untuk mengukur kemampuan model terbarunya.

Mozilla menyatakan bahwa hasil ini menunjukkan potensi pergeseran dalam keamanan siber, di mana pihak pertahanan dapat mulai menutup keunggulan jangka panjang yang dimiliki penyerang.

“Kami sangat bangga dengan bagaimana tim kami bangkit untuk menghadapi tantangan ini, dan yang lain juga akan melakukannya,” tulis Mozilla. “Pekerjaan kami belum selesai, tetapi kami telah melewati tikungan dan dapat mengintip masa depan yang jauh lebih baik daripada sekadar mengimbangi. Pihak pertahanan akhirnya memiliki kesempatan untuk menang, dengan tegas.”

Mozilla tidak segera menanggapi permintaan komentar dari Decrypt.