Antropik mengatakan ini minggu itu debut barunya Model Pratinjau Claude Mythos menandai titik kritis dalam evolusi keamanan siber, yang mewakili ancaman eksistensial yang belum pernah terjadi sebelumnya terhadap strategi pertahanan perangkat lunak yang ada. Jadi, apakah ini lebih merupakan sensasi AI—atau merupakan titik balik yang sebenarnya?
Menurut Anthropic, Pratinjau Mythos melampaui ambang batas kemampuan untuk menemukan kerentanan di hampir semua sistem operasi, browser, atau produk perangkat lunak lainnya dan secara mandiri mengembangkan eksploitasi yang berfungsi untuk peretasan. Mengingat hal ini, saat ini perusahaan hanya merilis model baru ke beberapa lusin organisasi—termasuk Microsoft, Apple, Google, dan Linux Foundation—sebagai bagian dari upaya konsorsium yang dijuluki Project Glasswing. Namun setelah bertahun-tahun berspekulasi tentang bagaimana AI generatif dapat berdampak pada keamanan siber, berita minggu ini memicu kontroversi mengenai apakah perhitungan tersebut benar-benar telah dilakukan dan seperti apa penerapannya dalam praktik.
Beberapa orang sangat skeptis terhadap klaim Anthropic. Mereka berpendapat bahwa agen AI yang ada sudah dapat membantu pengguna menemukan dan mengeksploitasi kerentanan dengan lebih mudah dan murah dibandingkan sebelumnya, dan kenyataan ini mendorong penyempurnaan dalam cara perusahaan menemukan dan menambal perangkat lunak mereka tanpa mengubah paradigma secara mendasar. Dan ada faktor buruk bahwa Anthropic hampir pasti akan mendapatkan keuntungan finansial dengan memposisikan model terbarunya sebagai model yang misterius, kuat secara unik, dan eksklusif. Namun, peneliti dan praktisi lain mengatakan bahwa mereka setuju dengan penilaian Anthropic dan menunjukkan bahwa perusahaan mengatakan Mythos Preview hanyalah yang pertama mencapai kemampuan yang pada akhirnya akan tersedia secara luas di model lain.
“Saya biasanya sangat skeptis terhadap hal-hal ini, dan komunitas open source cenderung sangat skeptis, namun pada dasarnya saya merasa ini adalah ancaman nyata,” kata Alex Zenla, chief technology officer di perusahaan keamanan cloud Edera.
Zenla dan lainnya secara khusus menunjuk pada satu kemampuan Pratinjau Mythos sebagai titik pivot. AI generatif, kata mereka, kini semakin mampu mengidentifikasi dan mengembangkan apa yang dikenal sebagai “rantai eksploitasi,” atau kelompok kerentanan yang dapat dieksploitasi secara berurutan untuk membahayakan suatu target—yang pada dasarnya adalah peretasan ala mesin Rube Goldberg. Banyak teknik peretasan paling canggih yang menggunakan rantai eksploitasi, termasuk yang disebut serangan tanpa klik yang membahayakan sistem tanpa memerlukan interaksi apa pun dari pengguna.
“Kita sudah hidup di dunia di mana perusahaan menjalankan perangkat lunak yang rentan, perangkat keras yang rentan, dan kesulitan melakukan patch. Banyak perusahaan tidak mampu mengamankan infrastruktur mereka—hal ini tidak berubah dari kemarin hingga saat ini,” kata insinyur keamanan dan peneliti Niels Provos. “Tetapi dari apa yang saya pahami, Mythos benar-benar pandai menemukan kerentanan multi-tahap, dan kemudian juga memberikan bukti eksploitasi. Menurut saya, hal ini tidak secara intrinsik mengubah ruang masalah, namun mengubah tingkat keahlian yang diperlukan untuk menemukan kerentanan ini dan mengeksploitasinya.”
Rilis terbatas dari Pratinjau Mythos kepada peserta Project Glasswing hanya memberikan sedikit waktu bagi para pembela HAM untuk menemukan kelemahan dalam sistem mereka sendiri dengan menggunakan model tersebut dan mulai memahami secara lebih luas bagaimana pengembangan perangkat lunak, siklus pembaruan, dan adopsi patch perlu diubah sebelum penyerang sendiri memiliki akses luas terhadap kemampuan tersebut.
Para pemimpin industri tampaknya memperhatikan peringatan tersebut. Pimpinan tim merah perbatasan Anthropic, Logan Graham, mengatakan kepada WIRED pada hari Selasa bahwa ketika perusahaan tersebut menghubungi organisasi-organisasi mengenai Project Glasswing menjelang pengumuman minggu ini, panggilan telepon menjadi semakin pendek karena potensi ancaman menjadi lebih jelas.
“Ini adalah masalah yang melibatkan semua pengembang model. Tujuan kami di sini hanyalah untuk memulainya,” kata Graham. “Sangat penting bahwa Mythos Preview berada di tangan para pembela HAM untuk memberikan keunggulan.”
Orang-orang yang mempertimbangkan dampak Mythos Preview tidak hanya mencakup perusahaan teknologi. Bloomberg dilaporkan minggu ini Menteri Keuangan AS Scott Bessent dan Ketua Federal Reserve Jerome Powell mengadakan pertemuan para pemimpin sektor keuangan di kantor pusat Departemen Keuangan di Washington, DC, pada hari Selasa untuk membahas potensi dampak model seperti Mythos Preview terhadap keamanan siber.
Jeetu Patel, presiden dan chief product officer Cisco, yang merupakan anggota Project Glasswing, mengatakan kepada WIRED pada konferensi HumanX AI di San Francisco bahwa Mythos Preview “adalah masalah yang sangat, sangat besar.”
“Dalam jangka panjang, Anda ingin memastikan bahwa pertahanan Anda berskala mesin, karena serangannya berskala mesin,” kata Patel. “Jika saya memiliki miliaran agen yang akan menyerang infrastruktur saya, saya perlu memastikan bahwa saya dapat mempertahankannya secara efektif. Apa yang dilakukan Anthropic di sini adalah hal yang luar biasa, karena hanya menciptakan tingkat asimetri terhadap pelaku kejahatan.”
Namun, beberapa orang berpendapat bahwa kegilaan ini berlebihan—sebuah bagian dari siklus hype AI secara keseluruhan. “Ini adalah spaghetti Western yang mana para pengkhotbah besar mengatakan bahwa akhir zaman sudah dekat dan kemudian meninggalkan kota dengan membawa uang semua orang,” kata konsultan keamanan dan kepatuhan lama, Davi Ottenheimer. “Ini adalah suatu perubahan, seperti belajar bagaimana bertarung dengan senapan mesin ketika orang lain masih menggunakan senapan bolt-action, tapi itu tidak ajaib dan mistis.”
Namun, ada yang berpendapat bahwa mengingat lamanya waktu yang dibutuhkan agar perubahan mentalitas ini berkembang di seluruh industri dan organisasi, akan bermanfaat jika kita memanfaatkan insiden atau kemajuan tertentu sebagai peluang untuk meningkatkan kesadaran. Pertimbangan keamanan siber lainnya muncul setelah pelanggaran besar seperti yang terjadi Serangan Aurora di Google yang menyoroti pentingnya arsitektur “zero trust”, atau angin matahari Dan Log4shell peretasan yang mempopulerkan pendekatan “aman berdasarkan desain” dalam pengembangan perangkat lunak. Anthropic berpendapat bahwa debut Mythos Preview dapat digunakan sebagai jenis titik perubahan yang lebih bijaksana, karena ini masih merupakan peringatan tentang apa yang mungkin terjadi di masa depan, bukan demonstrasi nyata dari skenario terburuk.
Pakar keamanan juga mengatakan bahwa momen ini memberikan peluang untuk mengatasi kekurangan dalam pengembangan perangkat lunak saat ini.
“Selama beberapa dekade, kita telah membangun industri global yang sangat besar untuk mempertahankan, mendeteksi, dan merespons ‘kerentanan’—cacat dan kecacatan pada perangkat lunak—yang seharusnya tidak pernah ada,” Jen Easterly, praktisi keamanan siber lama dan mantan direktur Badan Keamanan Siber dan Infrastruktur AS, menulis pada hari Rabu. Project Glasswing, menurutnya, dapat mengantarkan “masa depan di mana AI membantu kita bergerak melampaui pertahanan tanpa henti terhadap perangkat lunak yang cacat dan menuju pembangunan teknologi yang lebih aman sejak awal. Bukan akhir dari misi keamanan siber, namun awal dari akhir keamanan siber yang kita kenal sekarang.”
Zenla dari Edera menekankan bahwa Pratinjau Mythos bukanlah sambaran petir yang akan mengubah segalanya dalam semalam. Sebaliknya, katanya, ini adalah langkah lain menuju versi keamanan monyet tak terbatas pada mesin tik tak terbatas yang akhirnya memproduksi Shakespeare.
“Jika Anda mendapatkan satu juta peneliti kerentanan, mereka dapat menemukan sejumlah besar bug. Namun manusia tidak pandai menyimpan banyak informasi kontekstual dalam pikiran mereka untuk jangka waktu yang lama, sehingga jarang sekali menemukan rantai kerentanan yang sangat panjang yang benar-benar dapat dieksploitasi bersama-sama,” katanya. “Mitos dan model seperti itu akan mempercepat kecepatan penyerang dalam mengelompokkan kerentanan ke dalam rangkaian yang dapat bekerja sama. Beberapa orang akan marah-marah mengenai hal ini untuk waktu yang lama, namun menurut saya dinamikanya telah berubah.”
Pelaporan tambahan oleh Maxwell Zeff.
