Project Glasswing: AI Temukan Celah Keamanan, Tapi Siapa yang Memperbaikinya?

Project Glasswing yang diumumkan oleh Anthropic baru-baru ini menunjukkan bahwa kecerdasan buatan (AI) mampu menemukan kerentanan perangkat lunak yang sudah bertahan selama puluhan tahun. Namun, yang menjadi pertanyaan besar adalah: siapa yang akan memperbaiki celah-celah tersebut?

Penemuan Celah Keamanan oleh AI: Terobosan dari Project Glasswing

Anthropic, perusahaan di balik Project Glasswing, memilih untuk menunda rilis publik model AI ini karena kemampuannya yang luar biasa dalam mendeteksi kerentanan. Sebagai gantinya, mereka memberikan akses eksklusif kepada raksasa teknologi seperti Apple, Microsoft, Google, dan Amazon untuk memperbaiki bug sebelum dimanfaatkan oleh pihak jahat.

Model pendahulu Glasswing, Mythos Preview, berhasil menemukan kerentanan di semua sistem operasi dan browser utama. Menariknya, beberapa kerentanan itu telah bertahan puluhan tahun meskipun sudah melewati berbagai audit manusia, fuzzing agresif, dan pengawasan open-source. Salah satunya bahkan telah ada selama 27 tahun di OpenBSD, yang dikenal sebagai salah satu sistem operasi paling aman di dunia.

Berbeda dengan klaim AI berbahaya yang pernah dilakukan OpenAI pada GPT-2, Mythos tidak hanya menemukan kerentanan secara individual, tapi juga mampu menggabungkan empat bug independen menjadi sebuah eksploitasi yang bisa melewati renderer browser dan sandbox OS, melakukan eskalasi hak istimewa lokal di Linux, dan membangun rantai ROP kompleks di FreeBSD.

Dengan tingkat keberhasilan eksploitasi sebesar 72,4% di Firefox JS shell, Mythos membuktikan bahwa AI bukan lagi sekadar prediksi masa depan, melainkan kenyataan yang sudah ada di depan mata.

Kesenjangan Besar dalam Perbaikan Kerentanan: Kurang dari 1% Diperbaiki

Fakta yang mengkhawatirkan adalah, kurang dari 1% dari kerentanan yang ditemukan Mythos telah diperbaiki. Ini menandakan bahwa meskipun AI telah memecahkan masalah dalam menemukan celah keamanan, masalah sebenarnya adalah pada proses perbaikannya.

Kecepatan AI dalam menemukan kerentanan jauh melampaui kemampuan tim keamanan yang masih bekerja dengan siklus perbaikan yang lambat dan bergantung pada proses manual. Ini memperlihatkan celah besar di dunia keamanan siber yang belum teratasi.

Mengapa Pertahanan Sulit Mengimbangi Kecepatan AI? Kalender vs Kecepatan Mesin

Para defender di dunia keamanan siber bekerja dengan kecepatan kalender, yang meliputi:

• Mengumpulkan intelijen
• Menyusun kampanye mitigasi
• Simulasi ancaman
• Melakukan mitigasi
• Mengulangi proses

Siklus ini biasanya memakan waktu sekitar empat hari, sementara penyerang yang memanfaatkan AI bergerak dengan kecepatan mesin yang jauh lebih cepat.

Contohnya, pada awal tahun ini, sebuah aktor ancaman menggunakan server MCP yang menjalankan LLM sebagai bagian dari rantai serangan terhadap perangkat FortiGate, dengan seluruh proses mulai dari penciptaan backdoor, pemetaan infrastruktur internal, penilaian kerentanan otomatis, hingga eksekusi ofensif dijalankan secara mandiri oleh AI. Hasilnya, 2.516 organisasi di 106 negara berhasil disusupi secara paralel dengan hanya keterlibatan manusia di tahap review hasil.

AI dalam Penemuan Kerentanan Melaju Pesat, Namun Remediasi Masih Lamban

Kesenjangan antara kecepatan penyerang dan pertahanan memang bukan hal baru, tetapi dengan kehadiran AI, kesenjangan ini membesar drastis. Contohnya:

• Sistem otonom AISLE menemukan 13 dari 14 CVE OpenSSL terbaru yang bertahan bertahun-tahun dari tinjauan manusia.
• Peringkat hacker XBOW di HackerOne pada 2025 melampaui semua peserta manusia.
• Waktu rata-rata dari pengungkapan kerentanan hingga eksploitasi yang dipersenjatai turun drastis dari 771 hari pada 2018 menjadi hitungan jam pada 2024.

Diperkirakan sebagian besar eksploit akan dipersenjatai sebelum diumumkan secara publik pada 2025. Ditambah dengan kemampuan Mythos, dunia keamanan akan menghadapi tsunami temuan baru yang membutuhkan validasi dan proses perbaikan yang jauh lebih efisien.

Membangun Program Keamanan yang Siap Menghadapi Tsunami Kerentanan

Setelah Project Glasswing, pertanyaan yang harus diajukan bukan "Bagaimana menemukan lebih banyak bug?" melainkan:

1. Apakah program keamanan Anda mampu memproses ribuan kerentanan sekaligus?
2. Bagaimana mengubah proses yang bergantung pada pengujian berkala menjadi validasi berbasis sinyal terkini?
3. Bagaimana mengintegrasikan konteks lingkungan spesifik organisasi dalam prioritas kerentanan, bukan hanya berdasarkan skor CVSS generik?
4. Bagaimana menghilangkan proses manual antar tim yang memperlambat siklus perbaikan?

Program keamanan yang siap menghadapi temuan Mythos harus berfokus pada:

• Validasi berbasis sinyal alih-alih pengujian berkala.
• Konteks lingkungan spesifik dalam menilai tingkat risiko kerentanan.
• Siklus remediasi tertutup tanpa perlu intervensi manual.

Peran Picus Security dalam Menjawab Tantangan Validasi Otomatis

Picus Security mengembangkan platform Autonomous Exposure Validation yang mampu memangkas siklus perbaikan dari empat hari menjadi hanya tiga menit. Dengan menggunakan agen AI yang saling berkolaborasi, sistem ini:

• Menganalisis intelijen ancaman secara otomatis.
• Memetakan ancaman ke kondisi lingkungan organisasi untuk membuat playbook serangan yang aman.
• Menjalankan simulasi langsung di endpoint dan cloud organisasi untuk mengumpulkan bukti.
• Menjalankan koordinasi otomatis untuk membuka tiket, menjalankan playbook SOAR, dan melakukan validasi ulang setelah perbaikan.

Setiap tahap dapat dilacak dan diatur sesuai kebijakan organisasi, memungkinkan pemrosesan temuan dalam skala besar dengan kecepatan mesin.

Analisis Redaksi

Menurut pandangan redaksi, Project Glasswing menjadi titik balik yang jelas dalam lanskap keamanan siber. AI telah mengubah paradigma dari sekadar menemukan kerentanan menjadi tantangan bagaimana memperbaikinya secara cepat dan efektif. Kesenjangan antara kemampuan AI dalam menemukan celah dan lambatnya respon manusia dalam memperbaikinya membuka peluang besar bagi penyerang.

Hal ini menuntut organisasi untuk segera mengadopsi pendekatan validasi otomatis dan berbasis konteks agar dapat menyaring kerentanan yang benar-benar berisiko dalam lingkungan mereka. Jika tidak, kita akan menyaksikan peningkatan insiden kebocoran data dan serangan siber yang lebih masif.

Langkah selanjutnya yang harus diperhatikan adalah bagaimana kebijakan dan regulasi keamanan siber dapat mendorong percepatan proses remediasi dan penerapan teknologi otonom yang dapat menjaga keamanan infrastruktur digital skala besar.

Untuk informasi lebih dalam, Anthropic dan Picus Security akan mengadakan Autonomous Validation Summit pada 12 dan 14 Mei, menghadirkan para ahli dari berbagai industri untuk membahas solusi atas tantangan ini.

Pelajari lebih lanjut melalui artikel asli di The Hacker News dan ikuti perkembangan terbaru keamanan siber melalui berbagai kanal berita terpercaya.