Pengembang Firefox, Mozilla, mengungkapkan bahwa versi awal AI Claude Mythos milik Anthropic mengidentifikasi 271 kerentanan di peramban Firefox selama pengujian internal, yang semuanya telah ditambal minggu ini.
Temuan ini menunjukkan bagaimana sistem AI canggih mulai memindai basis kode besar pada skala yang dulunya bergantung pada berjam-jam kerja manual oleh peneliti keamanan siber. Mozilla mengatakan bahkan target perangkat lunak yang telah diperkuat kini dapat diperiksa lebih mendalam dalam waktu yang lebih singkat.
“Seiring kemampuan ini mencapai tangan lebih banyak pihak pembela, banyak tim lain kini mengalami pusing yang sama seperti yang kami rasakan saat temuan-temuan itu pertama kali terungkap,” tulis Mozilla. “Untuk target yang diperkuat, hanya satu bug seperti itu sudah akan menjadi peringatan merah pada tahun 2025, dan begitu banyak sekaligus membuat Anda bertanya-tanya apakah mungkin untuk terus mengimbanginya.”
Pengujian sebelumnya menggunakan model Anthropic lainnya telah mengungkap 22 bug yang sensitif keamanan dalam rilis Firefox sebelumnya. Meskipun ada kemajuan tersebut, Mozilla mencatat bahwa menghilangkan eksploitasi perangkat lunak sepenuhnya telah lama dianggap tidak realistis.
“Hingga saat ini, industri sebagian besar berjuang dalam keamanan tanpa hasil yang jelas,” tulis perusahaan itu. “Vendor perangkat lunak penting yang terpapar internet seperti Firefox sangat serius dalam hal keamanan dan memiliki tim orang-orang yang setiap pagi berpikir tentang bagaimana menjaga pengguna tetap aman.”
Mozilla mengatakan sistem baru ini dapat meninjau kode sumber dan menandai kelemahan dengan cara yang sebelumnya membutuhkan keahlian manusia yang sangat terspesialisasi. Hasil internal menunjukkan model tersebut tidak menemukan bug di luar jangkauan peneliti tingkat atas.
“Beberapa komentator memprediksi bahwa model AI di masa depan akan mengungkap bentuk-bentuk kerentanan baru yang sepenuhnya menantang pemahaman kita saat ini, namun kami tidak berpikir demikian,” kata perusahaan itu. “Perangkat lunak seperti Firefox dirancang secara modular agar manusia dapat memahami kebenarannya. Ini rumit, tetapi tidak rumit secara sewenang-wenang.”
Diluncurkan pada bulan Maret, Claude Mythos digambarkan oleh Anthropic sebagai model paling canggihnya untuk tugas penalaran, pengkodean, dan keamanan siber, diposisikan di atas seri Opus sebelumnya. Pengujian pra-rilis menunjukkan bahwa ia dapat mengidentifikasi ribuan kerentanan yang tidak diketahui di berbagai sistem operasi dan peramban.
Akses ke sistem tetap terbatas melalui inisiatif terbatas yang dikenal sebagai Project Glasswing, yang memungkinkan perusahaan terpilih, termasuk Amazon, Apple, dan Microsoft, untuk memindai perangkat lunak mencari celah keamanan.
Peneliti keamanan memperingatkan bahwa kemampuan yang sama dapat digunakan secara ofensif. Alat AI yang dapat menganalisis kode dalam skala besar juga dapat mengotomatiskan penemuan bug yang dapat dieksploitasi di seluruh sistem perangkat lunak yang banyak digunakan.
Pengujian oleh AI Security Institute Inggris menunjukkan model tersebut dapat melakukan operasi siber yang kompleks secara mandiri, termasuk menyelesaikan simulasi serangan jaringan korporat multi-tahap tanpa input manusia. Hasil-hasil tersebut telah menarik perhatian pemerintah dan badan intelijen.
Meskipun ada ketegangan sebelumnya dengan pemerintahan Donald Trump terkait penggunaan teknologi Anthropic, National Security Agency (NSA) telah menerapkan Claude Mythos Preview pada jaringan rahasia, menurut orang-orang yang akrab dengan masalah tersebut. Langkah ini menandakan meningkatnya minat di antara lembaga-lembaga AS terhadap alat AI yang dapat mendeteksi kerentanan perangkat lunak kritis.
Anthropic juga mengakui bahwa tolok ukur keamanan siber saat ini kesulitan mengimbangi model terbarunya, menimbulkan pertanyaan tentang bagaimana mengukur kinerja AI di bidang ini.
Mozilla mengatakan hasil ini menunjukkan titik balik yang mungkin, di mana para pembela mungkin mulai memperkecil kesenjangan yang telah lama ada dengan para penyerang.
“Kami sangat bangga dengan bagaimana tim kami bangkit menghadapi tantangan ini, dan yang lain juga akan melakukannya,” tulis perusahaan itu.
“Pekerjaan kami belum selesai, tetapi kami telah mencapai titik balik dan dapat melihat sekilas masa depan yang jauh lebih baik daripada hanya sekadar mengikuti. Para pembela akhirnya memiliki kesempatan untuk menang, secara meyakinkan.”
