Anthropic Temukan 22 Kerentanan Firefox dengan AI Claude Opus 4.6

Anthropic berhasil menemukan 22 kerentanan keamanan baru pada browser Firefox menggunakan model kecerdasan buatan (AI) terbarunya, Claude Opus 4.6. Penemuan ini merupakan bagian dari kemitraan keamanan antara Anthropic dan Mozilla untuk meningkatkan proteksi browser yang digunakan jutaan orang di seluruh dunia.

Dari 22 kerentanan yang ditemukan, 14 diklasifikasikan dengan tingkat keparahan tinggi, tujuh dengan tingkat sedang, dan satu dengan tingkat rendah. Semua isu ini telah diperbaiki dalam rilis Firefox versi 148 yang diluncurkan pada akhir Februari 2026. Kerentanan tersebut berhasil diidentifikasi selama periode dua minggu pada Januari 2026.

Peran Model AI Claude Opus 4.6 dalam Menemukan Kerentanan Firefox

Anthropic menjelaskan bahwa model bahasa besar (large language model/LLM) mereka, Claude Opus 4.6, mampu menemukan bug serius seperti use-after-free pada JavaScript browser hanya dalam waktu 20 menit eksplorasi. Bug ini kemudian dikonfirmasi oleh peneliti manusia dalam lingkungan virtual untuk memastikan keakuratannya dan menghindari false positive.

Selama proses pengujian, AI ini memindai hampir 6.000 file kode C++ dan menghasilkan 112 laporan unik yang mencakup kerentanan dengan tingkat keparahan tinggi dan sedang. Sebagian besar kerentanan telah diperbaiki pada Firefox 148, sementara sisanya dijadwalkan diperbaiki pada rilis mendatang.

Eksploitasi Kerentanan dan Biaya Pengembangan

Selain menemukan kerentanan, Anthropic juga menguji kemampuan Claude dalam mengembangkan eksploit praktis berdasarkan daftar kerentanan yang sudah dikirim ke Mozilla. Setelah melakukan ratusan kali percobaan dengan biaya sekitar $4.000 dalam bentuk API credits, Claude hanya berhasil membuat eksploit untuk dua kasus.

Perusahaan menilai bahwa ini mengindikasikan dua hal penting:

• Biaya menemukan kerentanan jauh lebih murah dibandingkan membuat eksploit untuk kerentanan tersebut.
• Model AI lebih unggul dalam menemukan masalah daripada mengeksploitasi mereka.

Meskipun demikian, kemampuan Claude mengembangkan eksploit otomatis, walaupun terbatas, dianggap mengkhawatirkan. Eksploit ini hanya berhasil dijalankan dalam lingkungan pengujian yang sengaja dilepaskan beberapa fitur keamanan seperti sandboxing untuk memudahkan pengujian.

Sebuah komponen penting dalam proses ini adalah task verifier yang menilai apakah eksploit benar-benar berhasil, memberikan umpan balik secara real-time kepada AI untuk mengulangi dan memperbaiki eksploit sampai berhasil.

Salah satu eksploit yang dibuat Claude adalah untuk CVE-2026-2796 dengan skor CVSS 9.8, yaitu bug kompilasi ulang (just-in-time miscompilation) pada komponen JavaScript WebAssembly.

Inovasi AI dalam Keamanan Perangkat Lunak dan Kolaborasi dengan Mozilla

Pengumuman ini muncul beberapa minggu setelah Anthropic merilis Claude Code Security, sebuah alat berbasis AI untuk memperbaiki kerentanan perangkat lunak dalam versi preview terbatas bagi para peneliti. Anthropic mengakui bahwa tidak semua patch yang dihasilkan oleh agen AI dapat langsung diterima, namun keberadaan task verifier meningkatkan kepercayaan bahwa patch yang dihasilkan dapat memperbaiki kerentanan tanpa mengganggu fungsi program.

Mozilla sendiri juga menyatakan bahwa pendekatan AI ini telah membantu menemukan 90 bug lain yang sebagian besar sudah diperbaiki. Bug tersebut meliputi kegagalan assertion yang biasanya ditemukan lewat metode fuzzing serta kesalahan logika yang tidak terdeteksi oleh fuzzers tradisional.

"Skala temuan ini menunjukkan kekuatan kombinasi antara rekayasa ketat dengan alat analisis baru untuk perbaikan berkelanjutan," ujar Mozilla. "Kami melihat ini sebagai bukti jelas bahwa analisis berbasis AI skala besar merupakan tambahan yang kuat untuk alat keamanan para insinyur."

Analisis Redaksi

Menurut pandangan redaksi, keberhasilan Anthropic dalam menemukan dan membantu memperbaiki banyak kerentanan di Firefox dengan bantuan AI menunjukkan era baru dalam keamanan siber. Penggunaan model AI seperti Claude Opus 4.6 mempercepat proses identifikasi bug yang sebelumnya sangat memakan waktu dan sumber daya manusia.

Namun, kemampuan AI untuk secara otomatis mengembangkan eksploit, walaupun hanya dalam kasus terbatas dan lingkungan terkendali, mengingatkan kita bahwa teknologi AI juga dapat menjadi pedang bermata dua. Potensi penyalahgunaan AI untuk eksploitas kerentanan harus diantisipasi dengan serius oleh pelaku industri dan regulator.

Ke depan, kolaborasi antara perusahaan AI dan pengembang perangkat lunak seperti Mozilla dapat menjadi model terbaik untuk meningkatkan keamanan digital secara proaktif. Pembaca dan pelaku industri harus terus mengikuti perkembangan ini karena AI akan semakin menjadi komponen kunci dalam menjaga keamanan dan stabilitas perangkat lunak yang kita gunakan sehari-hari.

Dengan semakin canggihnya AI dalam menemukan dan memperbaiki kerentanan, masa depan keamanan siber akan sangat bergantung pada sinergi antara manusia dan mesin untuk menghadapi tantangan yang kian kompleks.