Pengembang Firefox Mozilla mengungkapkan bahwa versi awal dari AI Claude Mythos milik Anthropic mengidentifikasi 271 kerentanan di browser Firefox selama pengujian internal, semuanya telah diperbaiki minggu ini.

Ringkasan

• Mozilla mengatakan bahwa AI Claude Mythos milik Anthropic mengidentifikasi 271 kerentanan di Firefox selama pengujian internal, semuanya telah diperbaiki minggu ini.
• Model tersebut menunjukkan kemampuannya untuk memindai basis kode besar dan mendeteksi celah keamanan lebih cepat daripada tinjauan tradisional yang dipimpin manusia, meskipun tidak ada temuan yang melebihi apa yang bisa diungkap oleh peneliti elit.

Temuan ini menunjukkan bagaimana sistem AI canggih mulai memindai basis kode besar dalam skala yang sebelumnya bergantung pada jam kerja manual yang panjang oleh peneliti keamanan siber. Mozilla mengatakan bahkan target perangkat lunak yang sudah diperkuat pun kini dapat diperiksa lebih mendalam dalam waktu yang lebih singkat.

“Seiring kemampuan ini menjangkau lebih banyak pembela, banyak tim lain kini mengalami vertigo yang sama seperti yang kami rasakan saat temuan pertama kali menjadi fokus,” tulis Mozilla. “Untuk target yang sudah diperkuat, hanya satu bug seperti itu sudah akan menjadi alarm merah pada 2025, dan begitu banyak sekaligus membuat Anda berhenti dan bertanya-tanya apakah bahkan mungkin untuk mengikuti perkembangan ini.”

Pengujian sebelumnya menggunakan model Anthropic lain telah menemukan 22 bug yang sensitif terhadap keamanan di rilis Firefox sebelumnya. Meski ada kemajuan tersebut, Mozilla mencatat bahwa menghilangkan eksploitasi perangkat lunak sepenuhnya sudah lama dianggap tidak realistis.

“Hingga saat ini, industri sebagian besar berjuang dalam keamanan hingga hasil imbang,” tulis perusahaan. “Vendor perangkat lunak penting yang terpapar internet seperti Firefox sangat serius dalam hal keamanan dan memiliki tim orang-orang yang bangun setiap pagi dengan pikiran tentang bagaimana menjaga pengguna tetap aman.”

AI mempercepat penemuan kerentanan tetapi risiko tetap ada

Mozilla mengatakan sistem baru ini dapat meninjau kode sumber dan menandai kelemahan dengan cara yang sebelumnya membutuhkan keahlian manusia yang sangat khusus. Hasil internal menunjukkan model tersebut tidak menemukan bug di luar jangkauan peneliti tingkat atas.

“Beberapa komentator memprediksi bahwa model AI di masa depan akan menemukan bentuk kerentanan yang benar-benar baru yang menentang pemahaman kita saat ini, tetapi kami tidak berpikir begitu,” kata perusahaan. “Perangkat lunak seperti Firefox dirancang secara modular agar manusia dapat memahami kebenarannya. Ini kompleks, tetapi tidak sembarangan kompleks.”

Diluncurkan pada bulan Maret, Claude Mythos digambarkan oleh Anthropic sebagai model paling canggih untuk tugas penalaran, pengkodean, dan keamanan siber, di atas seri Opus sebelumnya. Pengujian pra-rilis menunjukkan bahwa model ini dapat mengidentifikasi ribuan kerentanan yang tidak diketahui di seluruh sistem operasi dan browser.

Akses ke sistem ini tetap terbatas melalui inisiatif terbatas yang dikenal sebagai Project Glasswing, yang memungkinkan perusahaan tertentu, termasuk Amazon, Apple, dan Microsoft, untuk memindai perangkat lunak dari celah keamanan.

Para peneliti keamanan memperingatkan bahwa kemampuan yang sama dapat digunakan secara ofensif. Alat AI yang dapat menganalisis kode dalam skala besar juga dapat mengotomatisasi penemuan bug yang dapat dieksploitasi di berbagai sistem perangkat lunak yang banyak digunakan.

Pengujian oleh Institute Keamanan AI Inggris menunjukkan bahwa model tersebut dapat melakukan operasi siber kompleks secara mandiri, termasuk menyelesaikan simulasi serangan jaringan perusahaan multi-tahap tanpa input manusia. Hasil tersebut menarik perhatian dari pemerintah dan badan intelijen.

Meskipun ada ketegangan sebelumnya dengan pemerintahan Donald Trump terkait penggunaan teknologi Anthropic, NSA telah mengerahkan Claude Mythos Preview di jaringan rahasia, menurut orang yang akrab dengan hal tersebut. Langkah ini menandai meningkatnya minat dari lembaga AS terhadap alat AI yang dapat mendeteksi kerentanan perangkat lunak kritis.

Anthropic juga mengakui bahwa tolok ukur keamanan siber saat ini kesulitan mengikuti kecepatan model-model terbarunya, menimbulkan pertanyaan tentang bagaimana mengukur kinerja AI di bidang ini.

Mozilla mengatakan hasil ini menunjukkan titik balik yang mungkin, di mana para pembela dapat mulai mempersempit kesenjangan lama dengan para penyerang.

“Kami sangat bangga dengan bagaimana tim kami mampu menghadapi tantangan ini, dan yang lain juga akan,” tulis perusahaan.

“Pekerjaan kami belum selesai, tetapi kami telah melewati tikungan dan dapat melihat masa depan yang jauh lebih baik daripada sekadar mengikuti. Para pembela akhirnya memiliki peluang untuk menang, secara decisif.”