Project Glasswing dari Anthropic telah mengubah cara pandang kita terhadap penemuan kerentanan perangkat lunak. Ini adalah waktu yang krusial bagi tim perangkat lunak untuk memahami implikasinya.
Project Glasswing adalah koalisi industri yang melibatkan perusahaan-perusahaan besar seperti Amazon, Apple, Google, Microsoft, dan Cisco, dengan fokus untuk menemukan dan memperbaiki kerentanan perangkat lunak yang kritis sebelum para penyerang bisa memanfaatkannya. Semua ini dibangun mengelilingi model AI tercanggih dari Anthropic, yaitu Claude Mythos Preview.
Dari pengujian yang dilakukan oleh Anthropic, Mythos telah berhasil memindai sistem operasi utama dan browser, menemukan kerentanan dalam skala yang luar biasa, bahkan mendalam, yang sering kali terlewatkan oleh audit manual dan fuzzing.
Salah satu cacat yang ditemukan di OpenBSD bahkan telah ada di kode produksi selama 27 tahun. Mesin tersebut bukanlah basis kode yang tidak dikenal; sudah diaudit dan diuji oleh peneliti-peneliti kelas dunia. Namun, Mythos berhasil menemukan celah yang bisa dieksploitasi. Jika ini terjadi di salah satu tempat teraman, bisa dipastikan kerentanan serupa ada di mana-mana.
Angka yang mengkhawatirkan bagi tim keamanan adalah bahwa lebih dari 99% kerentanan yang ditemukan oleh Mythos belum diperbaiki.
AI Menghilangkan Jendela Patch
Model keamanan tradisional mengasumsikan bahwa para pembela akan memiliki waktu untuk menemukan kerentanan, membangun patch, dan menyebarkannya sebelum penyerang bisa memanfaatkannya. Namun, penemuan kerentanan yang dibantu oleh AI telah meruntuhkan asumsi ini, karena AI dapat menemukan kerentanan jauh lebih cepat daripada kemampuan pembela untuk memperbaikinya.
Apa yang ditemukan Mythos dalam satu usaha penelitian akan memerlukan ribuan tahun kerja untuk diperbaiki dan divalidasi di seluruh organisasi yang terdampak.
Tekanan pada tim pembela muncul dari dua arah. Kemampuan AI yang sama yang bisa menemukan kerentanan juga menghasilkan exploit yang bekerja terhadap kerentanan itu. Para penyerang yang mendapatkan akses ke model serupa akan tahu di mana kekurangan berada, dan mereka juga akan memiliki alat untuk dengan cepat mengembangkan eksploitasi. Ini semakin memperpendek jendela waktu dan meningkatkan taruhan pada setiap kerentanan yang tidak diperbaiki.
Saat AI mempercepat penemuan kerentanan, tim akan lebih banyak menghabiskan waktu untuk remediasi, mempengaruhi peta jalan produk dan jadwal pengiriman. Tim keamanan yang sudah menghadapi keterbatasan kini harus menghadapi antrean yang tak akan segera teratasi. Dan Anthropic telah menyatakan dengan jelas bahwa kemampuan ini hanya akan terus maju.
Mengapa Kerentanan Keamanan Memori Jadi Masalah Terbesar
Kerentanan keamanan memori adalah bagian yang sangat berbahaya dari gambaran ini. Mereka umum ditemukan di kode-kode lama dan dapat dieksploitasi dengan mudah. AI kini terbukti dapat menemukan bug ini dan merangkainya menjadi eksploitasi yang bekerja.
Misalnya, buffer overflow, kesalahan use-after-free, dan penulisan out-of-bounds dapat ditemukan di banyak kode kompilasi seperti pada jaringan energi, sistem pertahanan, dan transportasi.
Menariknya, banyak bug yang dicatat dalam pengumuman Mythos berhubungan dengan keamanan memori. Mythos Preview sukses mengidentifikasi dan mengekploitasi celah eksekusi kode jarak jauh berumur 17 tahun di FreeBSD. Selain itu, Mythos juga menemukan cacat keamanan belakangan di kernel Linux dan aplikasi web populer.
Patching Tidak Bisa Mengikuti
Banyaknya apa yang dapat disurface oleh alat-alat AI kini mengubah cara kita berpikir tentang patching sebagai pertahanan utama. Tidak ada tim keamanan yang dapat mengejar aliran zero-days di perangkat lunak kritis secara terus-menerus.
Organisasi yang paling siap menghadapi ini adalah yang sudah menggeser cara berpikir mereka dari mengeliminasi semua bug, menjadi membangun ketahanan dalam perangkat lunak itu sendiri.
Dengan membangun perangkat lunak sedemikian rupa sehingga mengurangi kemungkinan untuk dieksploitasi, bahkan ketika bug masih ada, organisasi dapat mengurangi beban patching. Contohnya adalah perlindungan runtime, yang mencegah eksploitasi bug tertentu bahkan sebelum patch tersedia.
Kerentanan hanya penting bagi penyerang jika mereka dapat mencapainya dan menciptakan eksploit yang bekerja. Memperkuat perangkat lunak pada tingkat biner akan memperkecil kemungkinan ini, bukan dengan memperbaiki bug, tetapi dengan menghilangkan pijakan yang diperlukan untuk menjadikannya sebagai pelanggaran. Bug tetap ada, tetapi jalan untuk mengeksploitasinya menjadi jauh lebih sempit. Ketika antrean remediasi mencapai tahunan, celah antara “bug ada” dan “bug dapat digunakan” adalah di mana organisasi dapat membeli waktu.
Apa yang Harus Dilakukan Sekarang
Tanggapan praktis dimulai dengan menerima bahwa backlog adalah kenyataan dan patching saja tidak akan menyelesaikannya dalam waktu yang berguna. Audit basis kode lama untuk komponen yang tidak aman memori dan prioritaskan yang terpapar jaringan atau memproses data yang tidak dipercaya.
Implementasikan penguatan biner dan perlindungan runtime untuk perangkat lunak yang tidak dapat ditulis ulang atau diganti dengan cepat. Bangun alur kerja remediasi yang mengelompokkan berdasarkan kemampuan eksploitasi, bukan hanya skor keparahan.
Pergeseran lebih mendalam adalah dalam cara organisasi memandang risiko. Sistem yang belum dipatch tidak selalu menjadi yang akan dilanggar, asalkan sudah diperkuat pada tingkat biner dan dilindungi terhadap apa yang bisa dilakukan penyerang dengan kerentanan tersebut. Sikap ini sesuai dengan kondisi saat ini.
Ketahanan dan remediasi bekerja sama, dan organisasi yang memperlakukannya demikian akan lebih siap ketika penemuan yang dibantu AI terus berkembang. Project Glasswing memberikan keunggulan awal bagi para pembela. Organisasi yang bergerak sekarang untuk memperkuat yang belum bisa mereka patch akan berada di posisi yang lebih kuat ketika akses itu meluas.
