Global banks, perusahaan teknologi besar, dan pemerintah pada bulan lalu dibuat panik untuk mengatasi risiko yang ditimbulkan oleh Mythos, model dari Anthropic yang dikatakan sangat kuat hingga dapat menemukan ribuan kerentanan perangkat lunak yang sebelumnya tidak diketahui di infrastruktur perangkat lunak dunia.
Tapi ada satu masalah: kapasitas yang mereka khawatirkan sudah ada sekarang.
Para ahli keamanan siber dan peneliti kecerdasan buatan memberi tahu CNBC bahwa kerentanan perangkat lunak yang diungkap oleh Mythos bisa ditemukan menggunakan model yang sudah ada, termasuk model dari Anthropic dan OpenAI.
“Apa yang kita lihat di industri sekarang adalah orang-orang dapat mereproduksi kerentanan yang ditemukan dengan Mythos melalui penyusunan model publik untuk mendapatkan hasil yang sangat mirip,” kata Ben Harris, CEO dari perusahaan keamanan siber watchTowr Labs.
Mythos telah mengguncang para eksekutif dan pembuat kebijakan karena kekhawatiran bahwa era baru kejahatan siber berbasis kecerdasan buatan mungkin akan segera tiba. Anthropic membatasi rilisnya hanya untuk beberapa perusahaan Amerika seperti Apple, Amazon, JPMorgan Chase, dan Palo Alto Networks guna mengurangi risiko agar aktor jahat tidak mendapatkan akses.
Meskipun tindakan pencegahan ini diambil, peluncuran Mythos mendorong pemerintah Trump untuk mempertimbangkan pengawasan baru atas model-model yang akan datang.
Ini adalah yang terbaru dalam rangkaian peluncuran bergengsi dari Anthropic yang semakin memanas persaingan dengan OpenAI, terutama saat kedua raksasa kecerdasan buatan ini mendekati penawaran umum perdana yang sangat dinanti. Beberapa minggu setelah kehadiran Mythos, CEO OpenAI Sam Altman mengumumkan GPT-5.5-Cyber, model yang dirancang khusus untuk keamanan siber.
OpenAI pada hari Kamis memberikan akses terbatas kepada tim keamanan siber yang telah disaring untuk menggunakan GPT-5.5-Cyber.
Peluncuran terkontrol Mythos, bagian dari langkah keamanan yang disebut Project Glasswing, bertujuan untuk memberikan waktu bagi dunia korporat untuk memperkuat pertahanan sibernya menghadapi serangan dari kelompok kriminal dan negara-negara yang berpotensi menjadi lawan.
“Bahaya yang ada adalah peningkatan besar dalam jumlah kerentanan, jumlah pelanggaran, serta kerugian finansial akibat ransomware di sekolah-sekolah, rumah sakit, bukan hanya di bank,” ungkap CEO Anthropic Dario Amodei dalam sebuah acara minggu ini.
‘Cukup Menakutkan’
Namun bagi mereka yang berjuang di garis depan perang siber, salah satu kemampuan utama yang diiklankan oleh Anthropic — untuk menemukan kerentanan perangkat lunak dalam skala besar — telah ada sejak tahun lalu.
“Model yang kita miliki saat ini cukup kuat untuk mendeteksi zero days dalam skala besar, dan ini cukup menakutkan,” ungkap Klaudia Kloc, CEO perusahaan keamanan siber Vidoc, kepada CNBC.
Ini sudah terjadi selama “beberapa bulan, jika tidak satu tahun,” tambahnya.
Istilah “zero-day” merujuk pada celah perangkat lunak yang sebelumnya tidak diketahui yang belum diperbaiki, memberikan waktu bagi penyerang untuk mengeksploitasinya sebelum para pembela dapat bereaksi.
Tim peneliti di Vidoc menggunakan teknik yang disebut “orchestration” untuk menguji apakah mereka dapat menemukan kerentanan yang sama seperti yang dilakukan Mythos. Proses ini melibatkan menciptakan alur kerja yang membagi kode menjadi bagian-bagian lebih kecil, mengkoordinasikan berbagai alat atau model untuk memeriksa hasil.
“Kami menjalankan model-model lama terhadap basis kode yang sama untuk melihat apakah kami akan dapat mendeteksi kerentanan yang sama,” jelas Kloc. “Kami berhasil, dengan model-model lama dari OpenAI dan Anthropic.”
Perusahaan keamanan siber lainnya, Aisle, menemukan bahwa banyak hasil utama dari Mythos dapat direproduksi menggunakan model yang lebih murah yang bekerja secara paralel — menunjukkan bahwa skala dan koordinasi lebih penting daripada memiliki model terbaru.
“Seribu detektif yang memadai mencari di mana-mana akan menemukan lebih banyak bug daripada satu detektif brilian yang harus menebak ke mana untuk mencari,” tulis pendiri Aisle, Stanislav Fort, dalam postingan blog.
Dalam pernyataan kepada CNBC, Anthropic tidak membantah bahwa model-model sebelumnya sudah mampu menemukan kerentanan perangkat lunak.
Seorang juru bicara perusahaan menyatakan, Anthropic telah memperingatkan selama berbulan-bulan bahwa kemampuan siber AI berkembang dengan cepat. Mereka merujuk pada sebuah posting blog bulan Februari yang menunjukkan bahwa Claude Opus 4.6, model yang banyak tersedia, menemukan lebih dari 500 kerentanan “tingkat tinggi” dalam perangkat lunak open-source.
Pada acara Anthropic minggu ini, Amodei menegaskan poin ini, mengatakan bahwa meski skala kerentanan perangkat lunak yang ditemukan oleh Mythos melonjak dari model-model sebelumnya, tren ini bukanlah hal baru.
“Risikonya sangat nyata. Inilah sebabnya kami mengambil tindakan yang kami lakukan,” kata Amodei. “Namun, dalam beberapa hal, ini juga tidak mengejutkan. Kami sudah melihat peringatan tentang ini sejak lama.”
Histeria dan Kepanikan
Yang membuat Mythos berbeda adalah kemampuannya untuk mengambil langkah berikutnya, mengembangkan eksploitasi yang bekerja dengan sedikit atau tanpa masukan manusia, secara efektif mengotomatiskan proses yang sebelumnya memerlukan peneliti yang terampil, menurut juru bicara Anthropic.
Tetapi para peretas yang bekerja untuk kelompok kriminal dan negara-negara lawan sudah memiliki keterampilan ini, kata para peneliti siber. Para peretas di Korea Utara, China, dan Rusia “tahu cara melakukannya, dengan atau tanpa Anthropic,” kata Kloc.
Ancaman peretasan berbasis AI ini membuat perusahaan dan regulator pemerintah khawatir tentang perlindungan sistem-sistem penting dari gelombang ransomware dan jenis serangan lainnya, menurut Harris.
Ia menggambarkan pembicaraan dengan bank, perusahaan asuransi, dan regulator dalam beberapa minggu terakhir sebagai “histeria.”
Sebelum kemunculan AI generatif, perusahaan sudah menghadapi masalah peretas terampil yang mengeksploitasi kerentanan yang baru ditemukan dalam hitungan jam, sementara patching kode sering memakan waktu berhari-hari atau berminggu-minggu. Beberapa patch memerlukan sistem kunci yang harus dimatikan, semakin memperumit permasalahan.
“Industri mengalami kepanikan tentang jumlah kerentanan yang mereka hadapi sekarang,” kata Harris. “Tetapi bahkan sebelum Mythos tersedia secara luas, tidak ada perbaikan yang cukup cepat untuk kerentanan yang ada.”
Sebelumnya, hanya sekelompok kecil pakar secara global yang memiliki kemampuan dan waktu untuk menemukan kerentanan yang tidak terduga dalam perangkat lunak dan mengeksploitasinya, menurut Harris. Sekarang, dengan menggunakan model AI yang tersedia saat ini, hambatan untuk menciptakan kekacauan siber telah menurun.
Itu berarti bahwa bank dan target lainnya akan melihat lebih banyak serangan, dan sistem perangkat lunak yang sebelumnya tidak menarik minat penjahat siber sekarang akan menghadapi ancaman, kata Harris.
Keuntungan: Serangan
Sementara Anthropic, OpenAI, dan lainnya bekerja untuk mengembangkan kemampuan pertahanan siber yang sebanding dengan masalah yang telah mereka identifikasi, keuntungan awal jatuh pada serangan, bukan pertahanan, kata para peneliti.
Jamie Dimon dari JPMorgan mengatakan hal serupa saat ia menyatakan bulan lalu bahwa meskipun alat AI pada akhirnya dapat membantu perusahaan membela diri dari serangan siber, mereka pada awalnya justru membuat lebih rentan.
“Anda memiliki peningkatan signifikan dalam volume kerentanan yang ditemukan, tetapi mereka tidak tampak telah menerapkan alat yang membantu Anda memperbaikinya,” kata Justin Herring, mitra di firma hukum Mayer Brown dan mantan wakil kepala pengawas untuk keamanan siber di regulator keuangan New York.
“Manajemen kerentanan adalah tugas Sisyphean yang hebat dalam keamanan siber,” tambah Herring.
Kelompok terbatas yang menjadi bagian dari rilis awal Mythos mendapatkan awal dalam memperbaiki kerentanan, tetapi ada sisi negatifnya. Peneliti AI belum diberikan akses ke Mythos untuk memverifikasi klaim Anthropic secara independen atau mulai membangun pertahanan melawannya.
Beberapa orang menganggapnya sebagai penghalang agar komunitas siber yang lebih luas tidak terlibat dalam solusi.
Ini telah menciptakan “tingkatan antara yang punya dan yang tidak punya,” yang dapat memperlambat inovasi keamanan siber, kata Pavel Gurvich, CEO dari startup keamanan siber Tenzai, yang menggunakan model-model dari Anthropic.
Banyak startup keamanan siber sedang mengembangkan solusi yang dapat membantu bisnis di era baru AI ini, katanya.
“Mereka mencoba mencari cara terbaik untuk memperbaiki dunia sebelum ini menjadi dapat diakses oleh semua orang,” kata Ben Seri, co-founder dari startup keamanan siber Zafran Security. “Ini adalah situasi di mana Anda harus memecahkan beberapa telur. Tidak bisa dihindari.”
