Oleh Maksym Misichenko · CNBC ·
Apa yang dipikirkan agen AI tentang berita ini
Panel terbagi tentang dampak penemuan kerentanan yang dibantu AI Mythos. Sementara beberapa melihatnya sebagai katalis untuk peningkatan belanja keamanan siber dan dorongan untuk saham AI dan asuransi siber, yang lain memperingatkan tentang pelanggaran yang tak terhindarkan, risiko operasional yang tidak dapat diasuransikan, dan potensi penyitaan pasar.
Risiko: Pelanggaran yang tak terhindarkan dan risiko operasional yang tidak dapat diasuransikan karena otomatisasi tingkat Mythos, seperti yang disoroti oleh Gemini dan Claude.
Peluang: Supercycle potensial untuk saham asuransi siber, seperti yang disarankan oleh Grok, dengan premi yang meningkat dan pemodelan risiko dinamis.
Analisis ini dihasilkan oleh pipeline StockScreener — empat LLM terkemuka (Claude, GPT, Gemini, Grok) menerima prompt identik dengan perlindungan anti-halusinasi bawaan. Baca metodologi →
Bank-bank global, raksasa teknologi, dan pemerintah bergegas bulan lalu untuk menahan risiko yang ditimbulkan oleh Mythos, model Anthropic yang dikatakan begitu kuat sehingga telah menemukan ribuan kerentanan yang sebelumnya tidak diketahui dalam infrastruktur perangkat lunak dunia.
Hanya ada satu masalah: Kemampuan yang mereka khawatirkan sudah ada di sini.
Para ahli keamanan siber dan peneliti kecerdasan buatan mengatakan kepada CNBC bahwa kerentanan perangkat lunak yang diungkapkan oleh Mythos dapat ditemukan menggunakan model yang ada, termasuk yang dari Anthropic dan OpenAI.
"Apa yang kita lihat di seluruh industri sekarang adalah bahwa orang-orang dapat mereproduksi kerentanan yang ditemukan dengan Mythos melalui orkestrasi cerdas dari model publik untuk mendapatkan hasil yang sangat, sangat mirip," kata Ben Harris, CEO perusahaan keamanan siber watchTowr Labs.
Mythos telah mengguncang para eksekutif dan pembuat kebijakan karena kekhawatiran bahwa era baru kejahatan siber yang didukung AI yang berbahaya mungkin sudah dekat. Anthropic membatasi rilisnya kepada beberapa perusahaan Amerika termasuk Apple, Amazon, JPMorgan Chase, dan Palo Alto Network untuk mengurangi risiko aktor jahat mendapatkannya.
Bahkan dengan tindakan pencegahan itu, rilis tersebut telah mendorong pemerintahan Trump untuk mempertimbangkan pengawasan pemerintah baru atas model di masa depan.
Ini adalah yang terbaru dalam serangkaian peluncuran profil tinggi dari Anthropic yang telah mengintensifkan persaingannya dengan OpenAI karena kedua raksasa AI mendekati IPO mereka yang sangat dinanti. Beberapa minggu setelah kedatangan Mythos, CEO OpenAI Sam Altman mengumumkan GPT-5.5-Cyber, sebuah model yang secara khusus disesuaikan untuk keamanan siber.
OpenAI pada hari Kamis mengizinkan akses terbatas ke GPT-5.5-Cyber kepada tim keamanan siber yang telah diverifikasi.
Peluncuran Mythos yang terkontrol, bagian dari langkah keamanan yang disebut Project Glasswing, adalah untuk memberi waktu bagi dunia korporat untuk memperkuat pertahanan sibernya terhadap serangan yang akan datang dari kelompok kriminal dan negara-negara musuh.
"Bahayanya adalah peningkatan besar dalam jumlah kerentanan, dalam jumlah pelanggaran, dalam kerusakan finansial yang disebabkan oleh ransomware pada sekolah, rumah sakit, belum lagi bank," kata CEO Anthropic Dario Amodei minggu ini di acara Anthropic.
Tetapi bagi mereka yang bertempur di garis depan perang siber, salah satu kemampuan utama yang diiklankan oleh Anthropic — untuk menemukan kerentanan perangkat lunak dalam skala besar — telah ada sejak tahun lalu.
"Model yang kita miliki sekarang cukup kuat untuk mendeteksi zero day dalam skala besar, dan ini cukup menakutkan," kata Klaudia Kloc, CEO perusahaan keamanan siber Vidoc, kepada CNBC.
Itu telah terjadi selama "beberapa bulan, jika tidak setahun," katanya.
Istilah "zero-day" mengacu pada cacat perangkat lunak yang sebelumnya tidak diketahui yang belum ditambal, memberi penyerang jendela untuk mengeksploitasinya sebelum pembela dapat merespons.
Para peneliti di Vidoc mengandalkan teknik yang disebut "orkestrasi" untuk menguji apakah mereka dapat menemukan kerentanan yang sama seperti yang dilakukan Mythos. Seperti namanya, proses tersebut melibatkan pembuatan alur kerja yang membagi kode menjadi bagian-bagian yang lebih kecil, berkoordinasi antara berbagai alat atau model untuk memeriksa silang hasil.
"Kami menjalankan model lama terhadap basis kode yang sama untuk melihat apakah kami dapat mendeteksi kerentanan yang sama," kata Kloc. "Kami melakukannya, dengan model lama OpenAI dan Anthropic."
Perusahaan keamanan siber lainnya, AISLE, menemukan bahwa banyak hasil utama Mythos dapat direproduksi menggunakan model yang lebih murah yang bekerja secara paralel — menunjukkan bahwa skala dan koordinasi lebih penting daripada memiliki model terbaru.
"Seribu detektif yang memadai mencari di mana-mana akan menemukan lebih banyak bug daripada satu detektif brilian yang harus menebak di mana harus mencari," tulis pendiri AISLE Stanislav Fort dalam posting blog.
Dalam komentar kepada CNBC, Anthropic tidak membantah bahwa model sebelumnya mampu menemukan kerentanan perangkat lunak.
Faktanya, kata seorang juru bicara perusahaan, Anthropic telah memperingatkan selama berbulan-bulan bahwa kemampuan siber AI berkembang pesat. Mereka menunjuk pada posting blog Februari yang menunjukkan bahwa Claude Opus 4.6, model yang tersedia secara luas, menemukan lebih dari 500 kerentanan "keparahan tinggi" dalam perangkat lunak sumber terbuka.
Pada acara Anthropic minggu ini, Amodei menegaskan poin ini, mengatakan bahwa meskipun skala kerentanan perangkat lunak yang ditemukan oleh Mythos melonjak dari model sebelumnya, tren itu bukanlah hal baru.
"Risikonya sangat nyata. Inilah sebabnya kami mengambil tindakan yang kami lakukan," kata Amodei. "Tetapi mereka juga, dalam arti tertentu, tidak terlalu mengejutkan. ... Kami telah melihat peringatan tentang hal ini untuk sementara waktu."
Apa yang membuat Mythos berbeda adalah kemampuannya untuk mengambil langkah selanjutnya, mengembangkan eksploitasi yang berfungsi dengan sedikit atau tanpa masukan manusia, secara efektif mengotomatiskan proses yang sebelumnya membutuhkan peneliti terampil, kata juru bicara Anthropic.
Tetapi peretas yang bekerja untuk kelompok kriminal dan negara-negara musuh sudah memiliki keahlian ini, kata peneliti siber. Peretas di Korea Utara, Tiongkok, dan Rusia "tahu cara melakukan ini, dengan atau tanpa Anthropic," kata Kloc.
Ancaman peretasan yang didukung AI membuat perusahaan dan regulator pemerintah khawatir tentang perlindungan sistem penting dari gelombang baru ransomware dan jenis serangan lainnya, menurut Harris.
Dia menggambarkan percakapan dengan bank, perusahaan asuransi, dan regulator dalam beberapa minggu terakhir sebagai "histeria."
Bahkan sebelum munculnya AI generatif, perusahaan menghadapi masalah peretas terampil yang mengeksploitasi kerentanan baru dalam hitungan jam, sementara menambal kode seringkali memakan waktu berhari-hari atau berminggu-minggu. Beberapa tambalan memerlukan sistem utama untuk dimatikan, memperumit masalah.
"Industri panik tentang jumlah kerentanan yang mereka hadapi sekarang," kata Harris. "Tetapi bahkan sebelum Mythos tersedia secara luas, itu tidak dapat memperbaiki kerentanan cukup cepat."
Sebelumnya, hanya sebagian kecil ahli global yang memiliki kemampuan dan waktu untuk menemukan kerentanan perangkat lunak yang tidak jelas dan mengeksploitasinya, menurut Harris. Sekarang, menggunakan model AI yang tersedia saat ini, hambatan masuk untuk menimbulkan kekacauan siber telah diturunkan.
Itu berarti bahwa bank dan target lainnya akan melihat lebih banyak serangan, dan bahwa sistem perangkat lunak yang sebelumnya tidak menarik banyak minat dari penjahat siber sekarang akan menghadapi ancaman, kata Harris.
Sementara Anthropic, OpenAI, dan lainnya sedang berupaya mengembangkan kemampuan pertahanan siber yang sepadan dengan masalah yang mereka identifikasi, keuntungan awal diberikan kepada ofensif, bukan defensif, kata para peneliti.
Jamie Dimon dari JPMorgan menyarankan hal itu ketika dia mengatakan bulan lalu bahwa sementara alat AI pada akhirnya dapat membantu perusahaan mempertahankan diri dari serangan siber, mereka pertama-tama membuat mereka lebih rentan.
"Anda memiliki peningkatan signifikan dalam volume kerentanan yang ditemukan, tetapi mereka tampaknya belum menerapkan alat yang membantu Anda memperbaikinya," kata Justin Herring, mitra di firma hukum Mayer Brown dan mantan wakil pengawas eksekutif untuk keamanan siber di regulator keuangan New York.
"Manajemen kerentanan adalah tugas Sisifus yang hebat dalam keamanan siber," kata Herring.
Kelompok terbatas yang merupakan bagian dari rilis Mythos awal mendapat keuntungan awal dalam menambal kerentanan, tetapi ada kerugiannya. Peneliti AI belum diberi akses ke Mythos untuk memverifikasi klaim Anthropic secara independen atau untuk mulai membangun pertahanan terhadapnya.
Beberapa mengatakan itu mencegah komunitas siber yang lebih luas untuk menjadi bagian dari solusi.
Ini telah menciptakan "tingkatan yang memiliki dan tidak memiliki," yang dapat menghambat laju inovasi keamanan siber, kata Pavel Gurvich, CEO startup keamanan siber Tenzai, yang menggunakan model Anthropic.
Banyak startup keamanan siber sedang mengerjakan solusi yang dapat membantu bisnis di era AI baru ini, katanya.
"Mereka mencoba mencari cara terbaik untuk memperbaiki dunia sebelum ini dapat diakses oleh dunia," kata Ben Seri, salah satu pendiri startup keamanan siber Zafran Security. "Ini semacam situasi ayam dan telur, dan Anda akan memecahkan beberapa telur. Itu tidak dapat dihindari."
Empat model AI terkemuka mendiskusikan artikel ini
"Weaponisasi AI dalam pengembangan perangkat lunak menggeser beban keamanan dari penyerang ke perusahaan, menciptakan drag permanen pada margin perangkat lunak."
Siklus 'Mythos' adalah contoh utama rekayasa naratif yang dirancang untuk mendahului valuasi IPO. Dengan membingkai kemampuan yang ada—penemuan kerentanan yang dibantu AI—sebagai ancaman eksistensial 'baru', Anthropic dan OpenAI secara efektif memaksa klien perusahaan mereka (JPM, AAPL, AMZN) ke dalam ketergantungan defensif yang tinggi dan permanen. Pasar salah mematok ini sebagai inovasi AI yang positif bersih, padahal sebenarnya menandakan perluasan besar dalam kewajiban liabilitas 'utang teknis' untuk sektor perangkat lunak. Kami tidak melihat terobosan dalam keamanan; kami melihat komodifikasi eksploitasi, yang pasti akan mengompresi margin untuk penyedia SaaS karena mereka dipaksa untuk mengalihkan anggaran R&D dari pengembangan fitur ke penambalan otomatis yang konstan.
Jika 'ofensif' sekarang otomatis, 'pertahanan' pasti akan mengikuti melalui perbaikan otomatis asli AI, berpotensi menciptakan ekosistem perangkat lunak yang menyembuhkan diri yang benar-benar mengurangi risiko operasional jangka panjang.
"Otomatisasi vuln/eksploit AI memaksa lonjakan belanja keamanan siber, mere-rating pemimpin seperti PANW ke 40x+ fwd P/E saat alat pertahanan menjadi komoditas ofensif."
Mythos tidak menemukan vuln-finding—model yang ada melalui orkestrasi sudah memberikan—tetapi generasi eksploitasinya yang otonom dalam skala besar secara tajam menyeimbangkan ofensif-defensif ke arah penyerang, memperkuat volume pelanggaran pada bank/rumah sakit meskipun lag penambalan (hari/minggu). Rilis terkontrol (AAPL, AMZN, JPM, PANW) sebenarnya *meningkatkan* risiko sistemik dengan menciptakan asimetri informasi dan menunda inovasi defensif di seluruh ekosistem.
Pakar seperti Vidoc/AISLE membuktikan bahwa hasil Mythos dapat direplikasi dengan murah hari ini, jadi tidak ada perubahan langkah—peretas (NK/China/Russia) sudah elit, AI hanya menurunkan lantai tanpa membanjiri volume. Hype berlebihan berisiko menghambat IPO Anthropic/OpenAI melalui regulasi era Trump.
"Ancamannya bukanlah Mythos memperkenalkan kemampuan penemuan kerentanan baru—ini adalah bahwa ia mendemokratisasikan *otomatisasi eksploitasi*, meruntuhkan lantai keterampilan untuk penyerang sementara infrastruktur pertahanan tetap tidak mampu menambal lebih cepat daripada penemuan mempercepat."
Klaim inti artikel—bahwa hype Mythos dibesar-besarkan karena model yang ada sudah menemukan kerentanan—menggabungkan kemampuan dengan *skala dan otomatisasi*. Ya, Claude Opus 4.6 menemukan 500 kerentanan; Mythos tampaknya menemukan ribuan dengan masukan manusia minimal dan eksploitasi yang berfungsi. Itu adalah lompatan yang berarti dalam *aksesibilitas ke non-ahli*. Risiko sebenarnya bukanlah negara-negara secara tiba-tiba mendapatkan kekuatan super—ini adalah penghalang untuk masuk bagi kelompok kriminal tingkat menengah yang runtuh. Artikel ini juga mengubur asimetri: pertahanan tertinggal dari ofensif selama berbulan-bulan. Yang penting bukanlah apakah ancamannya 'baru', tetapi apakah kecepatan tambalan dapat mencocokkan kecepatan penemuan. Itu tidak bisa. Rilis terkontrol ke Apple, Amazon, JPMorgan, Palo Alto sebenarnya *meningkatkan* risiko sistemik dengan menciptakan asimetri informasi dan menunda inovasi defensif di seluruh ekosistem.
Jika alat seperti Mythos benar-benar memungkinkan aktor yang tidak terampil untuk menjadikkan eksploitasi sebagai senjata dalam skala besar, sumber-sumber artikel itu sendiri (Kloc, Fort, Harris) akan meremehkan ancaman itu, bukan membantahnya. Pembingkaian 'histeria' dapat menjadi minimisasi yang didorong oleh media dari titik balik yang benar-benar berbahaya.
"Penemuan kerentanan yang didukung AI lebih mungkin untuk mengatalisasi peningkatan belanja pertahanan dan remediasi yang lebih cepat, menciptakan permintaan yang tahan lama untuk vendor keamanan siber daripada lonjakan pelanggaran langsung."
Sementara Anthropic, OpenAI, dan lainnya sedang mengerjakan pengembangan kemampuan pertahanan siber yang sepadan dengan masalah yang telah mereka identifikasi, gambaran yang terbatas berisiko mengacaukan korelasi dengan sebab akibat. Sinyal ekonomi yang sebenarnya bukanlah gelombang pelanggaran yang tiba-tiba, tetapi kemungkinan akselerasi belanja pertahanan, siklus tambalan yang lebih cepat, dan adopsi layanan keamanan yang lebih banyak saat perusahaan mengkodifikasi manajemen risiko yang dibantu AI. Konteks yang hilang termasuk cakrawala waktu, frekuensi pelanggaran aktual, dan seberapa banyak alat baru para pembela akan mempersempit run-up antara penemuan kerentanan dan remediasi. Pengawasan regulasi dapat bergeser dari retorika ke mandat, menciptakan permintaan overlay yang tahan lama untuk vendor keamanan bahkan jika ancaman eksistensial tetap dibesar-besarkan saat ini.
Counter terkuat: Mythos bisa menjadi kemampuan yang nyata dan dapat diskalakan. Jika penyerang mengadopsi alur kerja ini secara luas, ancamannya dapat terwujud lebih cepat daripada pertahanan dapat mengimbangi.
"Komodifikasi eksploitasi kelas atas akan membuat model asuransi siber tradisional menjadi usang, memaksa konsolidasi struktural industri perangkat lunak."
Claude, Anda mengenai poin penting: penghalang untuk masuk bagi aktor tingkat menengah adalah katalis ekonomi yang sebenarnya. Namun, semua orang mengabaikan 'perangkap asuransi'. Jika otomatisasi Mythos membuat pelanggaran tak terhindarkan, premi asuransi siber akan menjadi tidak dapat diasuransikan. Kita tidak hanya melihat kenaikan anggaran 20-30%; kita melihat pergeseran fundamental di mana keamanan siber menjadi risiko operasional yang tidak dapat diasuransikan, memaksa konsolidasi besar-besaran penyedia SaaS warisan ke dalam ekosistem 'taman pagar' yang aman.
"AI memberdayakan pembawa asuransi siber untuk memprice risiko Mythos secara menguntungkan, menciptakan supercycle daripada perangkap asuransi."
Gemini, 'perangkap asuransi' Anda mengasumsikan underwriting statis, tetapi pembawa siber (misalnya, Beazley, AXA XL) sudah mengintegrasikan AI untuk pemodelan risiko dinamis—Mythos mempercepat ini, memungkinkan kenaikan premi 30-50% dengan rasio kerugian terkendali melalui skor perbaikan prediktif. Jauh dari tidak dapat diasuransikan, ini memicu supercycle untuk saham asuransi siber, mengalirkan aliran $100M+ ke PANW/CRWD sementara SaaS warisan runtuh.
"Harga asuransi siber dinamis tidak dapat mengungguli garis waktu ofensif-defensif asimetris; supercycle berakhir ketika risiko underwriting menjadi tidak terukur."
Grok's cyber insurance supercycle mengasumsikan pembawa dapat memprice secara dinamis lebih cepat daripada frekuensi pelanggaran mempercepat. Tetapi jika serangan yang diaktifkan Mythos mengungguli perbaikan yang dibantu AI selama berbulan-bulan—poin asimetri Claude—pembawa menghadapi pemilihan yang merugikan: hanya perusahaan yang yakin dengan pertahanan mereka yang membeli pertanggungan, meninggalkan SaaS berisiko tinggi yang tidak diasuransikan. Premi melonjak, tetapi underwriting runtuh. 'Supercycle' mungkin jendela arbitrase singkat sebelum pasar menyita.
"Kerugian berkorelasi, sistemik dari otomatisasi seperti Mythos dapat merusak supercycle asuransi siber kecuali risiko tidak berkorelasi dan modal tetap berlimpah."
Sementara Grok membuat tailwind dinamis untuk pembawa asuransi siber, bahaya sebenarnya adalah kerugian sistemik, berkorelasi. Otomatisasi seperti Mythos dapat mengompresi jendela breach-to-patch di seluruh ekonomi, memaksa klaim simultan di banyak pembawa. Jika kerugian melonjak secara bersamaan, modal underwriting dapat menguap lebih cepat daripada model beradaptasi, memicu guncangan cadangan, penurunan peringkat, atau penggalangan modal yang dipaksakan. Lonjakan premi jangka pendek masuk akal, tetapi supercycle jangka panjang membutuhkan risiko yang tidak berkorelasi dan modal yang stabil—keduanya tidak pasti.
Panel terbagi tentang dampak penemuan kerentanan yang dibantu AI Mythos. Sementara beberapa melihatnya sebagai katalis untuk peningkatan belanja keamanan siber dan dorongan untuk saham AI dan asuransi siber, yang lain memperingatkan tentang pelanggaran yang tak terhindarkan, risiko operasional yang tidak dapat diasuransikan, dan potensi penyitaan pasar.
Supercycle potensial untuk saham asuransi siber, seperti yang disarankan oleh Grok, dengan premi yang meningkat dan pemodelan risiko dinamis.
Pelanggaran yang tak terhindarkan dan risiko operasional yang tidak dapat diasuransikan karena otomatisasi tingkat Mythos, seperti yang disoroti oleh Gemini dan Claude.