Bank-bank global, raksasa teknologi, dan pemerintah dikejutkan bulan lalu untuk mengatasi risiko yang ditimbulkan oleh Mythos, model Anthropic yang dikatakan sangat kuat sehingga telah menemukan ribuan kerentanan yang sebelumnya tidak diketahui dalam infrastruktur perangkat lunak dunia.
Hanya ada satu masalah: kemampuan yang mereka khawatirkan sudah ada di sini.
Para ahli keamanan siber dan peneliti kecerdasan buatan mengatakan kepada CNBC bahwa kerentanan perangkat lunak yang diungkapkan oleh Mythos dapat ditemukan menggunakan model yang ada, termasuk dari Anthropic dan OpenAI.
“Apa yang kami lihat di seluruh industri sekarang adalah bahwa orang-orang mampu mereproduksi kerentanan yang ditemukan dengan Mythos melalui orkestra cerdas model publik untuk mendapatkan hasil yang sangat, sangat mirip,” kata Ben Harris, CEO perusahaan keamanan siber watchTowr Labs.
Mythos telah mengguncang eksekutif dan pembuat kebijakan karena kekhawatiran bahwa era baru perang siber berbasis AI yang berbahaya mungkin sudah dekat. Anthropic membatasi rilisnya hanya untuk beberapa perusahaan Amerika termasuk Apple, Amazon, JPMorgan Chase dan Palo Alto Networks untuk mengurangi risiko bahwa aktor jahat mendapatkan akses ke sana.
Meski dengan langkah pencegahan itu, rilis tersebut telah mendorong administrasi Trump untuk mempertimbangkan pengawasan pemerintah baru terhadap model-model yang akan datang.
Ini adalah yang terbaru dalam serangkaian peluncuran profil tinggi dari Anthropic yang telah memperdalam persaingannya dengan OpenAI saat kedua raksasa AI mendekati penawaran umum perdana (IPO) mereka yang sangat dinanti. Beberapa minggu setelah kedatangan Mythos, CEO OpenAI Sam Altman mengumumkan GPT-5.5-Cyber, model yang khusus diperuntukkan untuk keamanan siber.
OpenAI pada hari Kamis memberikan akses terbatas ke GPT-5.5-Cyber kepada tim keamanan siber yang telah diverifikasi.
Penerapan Mythos yang terkontrol, bagian dari langkah keamanan yang disebut Proyek Glasswing, bertujuan memberikan waktu kepada dunia korporasi untuk mempersiapkan pertahanan siber mereka menghadapi serangan dari kelompok kriminal dan negara-negara yang bersifat antagonis.
“Bahaya adalah peningkatan besar dalam jumlah kerentanan, dalam jumlah pelanggaran, dalam kerugian finansial yang disebabkan oleh ransomware di sekolah-sekolah, rumah sakit, belum lagi bank,” kata CEO Anthropic Dario Amodei dalam sebuah acara minggu ini di Anthropic.
‘Kekhawatiran yang cukup’
Tetapi bagi mereka yang berjuang di garis depan perang siber, salah satu kemampuan kunci yang diiklankan oleh Anthropic — untuk menemukan kerentanan perangkat lunak secara luas — sudah ada sejak tahun lalu.
“Model-model yang kami miliki saat ini cukup kuat untuk mendeteksi zero days dalam skala besar, dan ini sudah cukup menakutkan,” kata Klaudia Kloc, CEO perusahaan keamanan siber Vidoc, kepada CNBC.
Itu telah terjadi selama “beberapa bulan, jika tidak setahun,” katanya.
Istilah “zero-day” mengacu pada cacat perangkat lunak yang sebelumnya tidak diketahui yang belum diperbaiki, memberi kesempatan kepada penyerang untuk mengeksploitasi sebelum pembela dapat merespons.
Para peneliti di Vidoc menggunakan teknik yang disebut “orkestra” untuk menguji apakah mereka dapat menemukan kerentanan yang sama yang ditemukan oleh Mythos. Seperti namanya, proses ini melibatkan pembuatan alur kerja yang membagi kode menjadi bagian yang lebih kecil, mengoordinasikan antara berbagai alat atau model untuk memeriksa kembali hasil.
“Kami menjalankan model-model yang lebih lama terhadap basis kode yang sama untuk melihat apakah kami akan dapat mendeteksi kerentanan yang sama,” kata Kloc. “Kami melakukannya, dengan menggunakan model-model lama dari OpenAI dan Anthropic.”
Perusahaan keamanan siber lainnya, Aisle, menemukan bahwa banyak dari hasil utama Mythos dapat direproduksi menggunakan model yang lebih murah yang bekerja secara paralel — menunjukkan bahwa skala dan koordinasi lebih penting daripada memiliki model terbaru.
“Seribu detektif yang memadai mencari di mana-mana akan menemukan lebih banyak bug daripada satu detektif brilian yang harus menebak di mana harus mencari,” tulis pendiri Aisle, Stanislav Fort, dalam sebuah pos blog.
Dalam komentar kepada CNBC, Anthropic tidak membantah bahwa model-model sebelumnya mampu menemukan kerentanan perangkat lunak.
Faktanya, seorang juru bicara perusahaan berkata, Anthropic telah memperingatkan selama berbulan-bulan bahwa kemampuan siber AI telah maju dengan cepat. Mereka mengacu pada sebuah posting blog Februari yang menunjukkan bahwa Claude Opus 4.6, model yang tersedia secara luas, menemukan lebih dari 500 kerentanan “dengan tingkat keparahan tinggi” dalam perangkat lunak sumber terbuka.
Di acara Anthropic minggu ini, Amodei menegaskan poin ini, dengan mengatakan bahwa meskipun skala kerentanan perangkat lunak yang ditemukan oleh Mythos meningkat dari model-model sebelumnya, tren ini bukanlah hal baru.
“Risikonya sangat nyata. Inilah sebabnya mengapa kami mengambil tindakan yang kami lakukan,” kata Amodei. “Tetapi mereka juga, dalam beberapa hal, tidak terlalu mengejutkan. … Kami telah melihat peringatan ini selama sebulan.”
Histeria dan kepanikan
Apa yang membuat Mythos berbeda adalah kemampuannya untuk mengambil langkah berikutnya, mengembangkan eksploitasi yang berfungsi dengan sedikit atau tanpa input manusia, secara efektif mengotomatisasi proses yang sebelumnya memerlukan peneliti yang terampil, kata juru bicara Anthropic.
Tetapi para peretas yang bekerja untuk kelompok kriminal dan negara-negara antagonis sudah memiliki keterampilan ini, kata para peneliti siber. Para peretas di Korea Utara, Cina, dan Rusia “tahu cara melakukannya, dengan atau tanpa Anthropic,” kata Kloc.
Ancaman peretasan yang didukung AI membuat perusahaan dan regulator pemerintah khawatir tentang melindungi sistem penting dari gelombang baru ransomware dan jenis serangan lainnya, menurut Harris.
Dia menggambarkan percakapan dengan bank-bank, perusahaan asuransi, dan regulator dalam beberapa minggu terakhir sebagai “histeria.”
Even before the advent of generative AI, corporations faced the problem of skilled hackers exploiting newfound vulnerabilities in hours, while patching the code often takes days or weeks. Some patches require key systems to be taken offline, complicating matters.
“Industri dalam keadaan panik tentang jumlah kerentanan yang mereka hadapi sekarang,” kata Harris. “Tetapi bahkan sebelum Mythos tersedia secara luas, ia tidak dapat memperbaiki kerentanan dengan cukup cepat.”
Sebelumnya, hanya sebagian kecil populasi ahli di seluruh dunia yang memiliki kemampuan dan waktu untuk menemukan kerentanan yang tersembunyi dalam perangkat lunak dan mengeksploitasinya, menurut Harris. Sekarang, dengan menggunakan model AI yang tersedia saat ini, hambatan untuk menciptakan kekacauan siber telah diturunkan.
Itu berarti bahwa bank dan target lainnya akan melihat lebih banyak serangan, dan bahwa sistem perangkat lunak yang sebelumnya tidak menarik minat banyak penjahat siber kini akan menghadapi ancaman, kata Harris.
Keunggulan: Serangan
Sementara Anthropic, OpenAI, dan lainnya bekerja untuk mengembangkan kemampuan pertahanan siber yang sebanding dengan masalah yang telah mereka identifikasi, keunggulan awal jatuh pada serangan, bukan pertahanan, kata para peneliti.
Jamie Dimon dari JPMorgan menyarankan hal ini ketika ia mengatakan bulan lalu bahwa meskipun alat AI pada akhirnya dapat membantu perusahaan melindungi diri dari serangan siber, mereka pertama-tama membuat mereka lebih rentan.
“Anda mengalami peningkatan signifikan dalam volume kerentanan yang ditemukan, tetapi mereka tampaknya belum menerapkan alat yang membantu Anda memperbaikinya,” kata Justin Herring, mitra di firma hukum Mayer Brown dan mantan eksekutif wakil superintenden untuk keamanan siber di regulator keuangan New York.
“Manajemen kerentanan adalah tugas Sisyphean yang besar dalam keamanan siber,” kata Herring.
Kelompok terbatas yang merupakan bagian dari rilis awal Mythos mendapatkan keunggulan dalam memperbaiki kerentanan, tetapi ada sisi negatifnya. Para peneliti AI belum diberikan akses ke Mythos untuk secara independen memverifikasi klaim Anthropic atau untuk mulai membangun pertahanan terhadapnya.
Beberapa orang mengatakan ini mencegah komunitas siber yang lebih luas menjadi bagian dari solusi.
Ini telah menciptakan “tingkatan orang mampu dan yang tidak mampu,” yang dapat memperlambat inovasi keamanan siber, kata Pavel Gurvich, CEO startup keamanan siber Tenzai, yang menggunakan model-model Anthropic.
Banyak startup keamanan siber saat ini bekerja pada solusi yang dapat membantu bisnis di era baru AI ini, katanya.
“Mereka sedang mencoba mencari cara terbaik untuk memperbaiki dunia sebelum ini dapat diakses oleh dunia,” kata Ben Seri, salah satu pendiri startup keamanan siber
Related Posts
