Oleh Maksym Misichenko · The Guardian ·
Apa yang dipikirkan agen AI tentang berita ini
Penemuan kerentanan yang didorong AI mempercepat serangan dan pertahanan, menggeser lanskap keamanan siber. Meskipun menghadirkan peluang bagi vendor keamanan siber dan kontraktor pemerintah dalam jangka pendek, risiko terbesar adalah sistem warisan tanpa kecepatan penambalan dan potensi 'kelelahan penambalan' dalam infrastruktur IoT dan warisan yang tidak dipelihara.
Risiko: Sistem warisan tanpa kecepatan penambalan dan 'kelelahan penambalan' dalam infrastruktur IoT dan warisan yang tidak dipelihara.
Peluang: Pertahanan yang ditingkatkan AI menggeser permintaan ke alat dan layanan keamanan, berpotensi meningkatkan anggaran untuk pemain keamanan siber.
Analisis ini dihasilkan oleh pipeline StockScreener — empat LLM terkemuka (Claude, GPT, Gemini, Grok) menerima prompt identik dengan perlindungan anti-halusinasi bawaan. Baca metodologi →
Bulan lalu, Anthropic membuat pengumuman luar biasa tentang model barunya, Claude Mythos Preview: model tersebut sangat baik dalam menemukan kerentanan keamanan dalam perangkat lunak sehingga perusahaan tidak akan merilisnya kepada publik umum. Sebaliknya, model tersebut hanya akan tersedia untuk sekelompok perusahaan terpilih untuk memindai dan memperbaiki perangkat lunak mereka sendiri.
Pengumuman tersebut memerlukan konteks – tetapi mengandung kebenaran penting.
Meskipun model Anthropic sangat baik dalam menemukan kerentanan perangkat lunak, model lain juga demikian. UK’s AI Security Institute menemukan bahwa GPT-5.5 OpenAI, yang sudah tersedia secara umum, sebanding dalam kemampuannya. Perusahaan Aisle mereproduksi hasil yang dipublikasikan Anthropic dengan model yang lebih kecil dan lebih murah.
Pada saat yang sama, penolakan Anthropic untuk merilis model barunya secara publik adalah sebuah kebajikan dari keharusan. Mythos sangat mahal untuk dijalankan, dan perusahaan tampaknya tidak memiliki sumber daya untuk rilis umum. Cara apa yang lebih baik untuk meningkatkan valuasi perusahaan daripada mengisyaratkan kemampuan tetapi tidak membuktikannya, dan kemudian meminta orang lain meniru klaim mereka?
Namun demikian, kebenarannya menakutkan. Sistem AI generatif modern – bukan hanya milik Anthropic, tetapi juga milik OpenAI dan model sumber terbuka lainnya – menjadi sangat baik dalam menemukan dan mengeksploitasi kerentanan dalam perangkat lunak. Dan itu memiliki implikasi penting bagi keamanan siber: baik di sisi serangan maupun pertahanan.
Penyerang akan menggunakan kemampuan ini untuk menemukan, dan secara otomatis meretas, kerentanan dalam sistem segala jenis. Mereka akan dapat membobol sistem kritis di seluruh dunia, terkadang untuk menanam ransomware dan menghasilkan uang, terkadang untuk mencuri data untuk tujuan spionase, dan terkadang untuk mengendalikan sistem di saat permusuhan. Ini akan membuat dunia menjadi tempat yang jauh lebih berbahaya dan lebih bergejolak.
Tetapi pada saat yang sama, pembela akan menggunakan kemampuan yang sama ini untuk menemukan, dan kemudian menambal, banyak dari sistem yang sama tersebut. Misalnya, Mozilla menggunakan Mythos untuk menemukan 271 kerentanan di Firefox. Kerentanan tersebut telah diperbaiki, dan tidak akan pernah lagi tersedia bagi penyerang. Di masa depan, AI yang secara otomatis menemukan dan memperbaiki kerentanan di semua perangkat lunak akan menjadi bagian normal dari proses pengembangan, yang akan menghasilkan perangkat lunak yang jauh lebih aman.
Tentu saja, tidak sesederhana itu. Kita harus mengharapkan lonjakan baik dari penyerang yang menggunakan kerentanan yang baru ditemukan untuk membobol sistem, dan pada saat yang sama pembaruan perangkat lunak yang jauh lebih sering untuk setiap aplikasi dan perangkat yang kita gunakan. Tetapi banyak sistem tidak dapat ditambal, dan banyak sistem yang dapat ditambal tidak ditambal, yang berarti banyak kerentanan akan tetap ada. Dan tampaknya menemukan dan mengeksploitasi lebih mudah daripada menemukan dan memperbaiki. Semua ini menunjukkan masa depan jangka pendek yang lebih berbahaya. Organisasi perlu mengadaptasi keamanan mereka ke realitas baru ini.
Tetapi jangka panjanglah yang perlu kita fokuskan. Mythos tidak unik, tetapi lebih mampu daripada banyak model yang ada sebelumnya. Dan itu kurang mampu daripada model yang akan datang. AI jauh lebih baik dalam menulis perangkat lunak daripada enam bulan lalu. Ada setiap alasan untuk percaya bahwa mereka akan terus menjadi lebih baik, yang berarti mereka akan menjadi lebih baik dalam menulis perangkat lunak yang lebih aman. Akhir permainan memberikan keunggulan bagi pembela yang ditingkatkan AI atas penyerang yang ditingkatkan AI.
Bahkan lebih menarik adalah implikasi yang lebih luas. Kemampuan pencarian, pencocokan pola, dan penalaran yang sama yang membuat model-model ini sangat baik dalam menganalisis perangkat lunak hampir pasti berlaku untuk sistem serupa. Kode pajak bukanlah kode komputer, tetapi serangkaian algoritma dengan input dan output. Ia memiliki kerentanan; kita menyebutnya celah pajak. Ia memiliki eksploitasi; kita menyebutnya strategi penghindaran pajak. Dan ia memiliki peretas topi hitam: pengacara dan akuntan.
Sama seperti model-model ini menemukan ratusan kerentanan dalam sistem perangkat lunak yang kompleks, kita harus mengharapkan mereka untuk sama efektifnya dalam menemukan banyak celah pajak baru dan yang belum ditemukan. Saya yakin bank investasi besar sedang mengerjakan ini sekarang, secara diam-diam. Mereka telah memberi makan AI kode pajak AS, atau Inggris, atau mungkin setiap negara industri, dan menugaskan sistem untuk mencari strategi penghematan uang. Berapa banyak celah pajak yang akan ditemukan AI tersebut? Sepuluh? Seratus? Seribu? The Double Dutch Irish Sandwich adalah celah pajak yang melibatkan berbagai yurisdiksi pajak yang berbeda. Bisakah AI menemukan celah yang lebih kompleks? Kita tidak tahu.
Tentu, AI akan menghasilkan banyak trik yang tidak akan berhasil, tetapi di situlah pengacara dan akuntan itu berperan – untuk memverifikasi, dan kemudian membenarkan, celah tersebut. Dan kemudian memasarkannya kepada klien kaya mereka.
Seperti halnya kode pajak, begitu pula sistem aturan dan strategi kompleks lainnya. Model-model ini dapat ditugaskan untuk menemukan celah dalam peraturan lingkungan, atau peraturan makanan dan keselamatan – di mana pun ada sistem peraturan yang kompleks dan orang-orang kuat yang ingin menghindari peraturan tersebut.
Hasilnya akan jauh lebih buruk daripada komputer yang tidak aman. Celah pajak menghasilkan pendapatan yang lebih sedikit yang dikumpulkan oleh pemerintah, dan celah peraturan memungkinkan orang yang berkuasa untuk menghindari aturan, keduanya memiliki berbagai macam implikasi sosial. Dan sementara vendor perangkat lunak dapat menambal sistem mereka dalam hitungan hari, biasanya dibutuhkan waktu bertahun-tahun bagi suatu negara untuk mengubah kode pajaknya. Dan proses itu bersifat politis, dengan lobi menekan legislator untuk tidak menambal. Lihat saja celah bunga yang dibawa, penggelapan pajak AS yang telah dieksploitasi selama beberapa dekade. Berbagai administrasi telah mencoba untuk menutup kerentanan, tetapi legislator tampaknya tidak dapat menahan lobi cukup lama untuk menambalnya.
Teknologi AI siap untuk membentuk kembali sebagian besar masyarakat. Sama seperti revolusi industri memberi manusia kemampuan untuk mengonsumsi kalori di luar tubuh mereka dalam skala besar, revolusi AI akan memberi manusia kemampuan untuk melakukan tugas kognitif di luar tubuh mereka dalam skala besar. Sistem kita tidak dirancang untuk itu; mereka dirancang untuk kecepatan kognisi manusia. Kita melihatnya sekarang dalam lonjakan kerentanan perangkat lunak yang ditemukan dan dieksploitasi oleh model-model ini. Dan kita akan segera melihatnya dalam lonjakan kerentanan di semua jenis sistem aturan lainnya. Beradaptasi dengan realitas baru ini akan sulit, tetapi kita tidak punya pilihan.
-
Bruce Schneier adalah seorang teknolog keamanan yang mengajar di Harvard Kennedy School di Harvard University
Empat model AI terkemuka mendiskusikan artikel ini
"Transisi dari perbaikan kode yang dipimpin manusia ke perbaikan kode otonom yang didorong AI akan memicu penyesuaian valuasi besar-besaran untuk perusahaan keamanan siber yang dapat berhasil mengintegrasikan agen generatif ke dalam siklus hidup pengembangan perangkat lunak."
Schneier secara akurat mengidentifikasi bahwa penemuan kerentanan yang didorong AI adalah pedang bermata dua, tetapi ia meremehkan 'gesekan penambalan' dalam perangkat lunak perusahaan. Sementara ia berfokus pada risiko sistemik eksploitasi kode pajak, dampak keuangan langsungnya adalah pada sektor keamanan siber (CRWD, PANW, FTNT). Model 'Mythos' mewakili pergeseran dari keamanan reaktif ke proaktif, tetapi parit sebenarnya bukan hanya menemukan bug—tetapi jalur perbaikan otomatis. Jika AI dapat memperbaiki 271 kerentanan Firefox, proposisi nilai untuk layanan keamanan terkelola bergeser dari 'pemantauan' ke 'penyembuhan otonom.' Ini akan menekan margin untuk firma konsultasi warisan sambil memberi penghargaan kepada perusahaan yang mengintegrasikan LLM langsung ke dalam pipeline CI/CD.
Artikel ini mengasumsikan bahwa penambalan yang didorong AI akan menjadi positif bersih, tetapi jika kode yang dihasilkan AI memperkenalkan kerentanan logis baru yang halus lebih cepat daripada memperbaiki yang sudah ada, kita mungkin menghadapi 'jebakan kompleksitas' di mana perangkat lunak menjadi tidak dapat dikelola.
"Pemburu kerentanan AI mengotomatiskan 70% pekerjaan pemindaian, memperluas margin pemimpin siber hingga 30%+ EBITDA karena perusahaan memprioritaskan pertahanan proaktif."
Schneier dengan tepat menyoroti keunggulan penemuan kerentanan AI—misalnya, Mythos mengungkap 271 bug Firefox—tetapi meremehkan percepatan pertahanan: perusahaan seperti CrowdStrike (CRWD) dan Palo Alto (PANW) sudah mengintegrasikan LLM, memangkas biaya pemindaian manual sebesar 50%+ (uji coba industri). Pembatasan B2B Anthropic dimonetisasi melalui lisensi perusahaan, meningkatkan pendukung seperti Amazon (AMZN), sementara model terbuka (GPT-4o, bukan '5.5'—kemungkinan kekeliruan pratinjau) memungkinkan penambalan luas. Jangka pendek: kelelahan penambalan memengaruhi IoT/warisan yang tidak dipelihara (10-20% infrastruktur). Margin siber bullish jangka panjang (EBITDA +300bps) karena AI menggeser kerentanan ke kiri dalam siklus pengembangan. Hype celah pajak berlebihan—regulasi berkembang lebih lambat dari kode.
Aktor negara dengan model frontier yang tidak disensor mengeksploitasi zero-day dalam hitungan jam vs. pembela berminggu-minggu untuk menambal, lonjakan biaya pelanggaran (rata-rata $4,5 juta) dan mengikis kepercayaan cloud untuk MSFT/AWS.
"Kemampuan penemuan kerentanan AI nyata tetapi secara asimetris menguntungkan pembela dengan siklus penambalan cepat daripada penyerang, menjadikan sistem warisan/yang tidak ditambal sebagai kelas kerentanan yang sebenarnya, bukan AI itu sendiri."
Schneier mengacaukan kemampuan dengan risiko penerapan dan mengacaukan kehati-hatian Anthropic dengan manipulasi pasar. Klaim inti — bahwa penemuan kerentanan AI mempercepat serangan dan pertahanan — adalah benar. Tetapi artikel ini meremehkan tiga kesenjangan kritis: (1) kecepatan penambalan jauh melebihi kecepatan eksploitasi dalam ekosistem perangkat lunak yang matang; (2) analogi kode pajak adalah teater spekulatif — optimalisasi pajak membutuhkan pertahanan hukum, bukan hanya penemuan algoritmik; (3) rilis terbatas Anthropic kemungkinan mencerminkan kendala komputasi yang sebenarnya dan masalah kewajiban, bukan teater valuasi. Risiko sebenarnya bukanlah model; melainkan sistem warisan dengan nol kecepatan penambalan. Vendor keamanan siber dan kontraktor pemerintah mendapat manfaat lebih dari penyerang dalam 3–5 tahun ke depan.
Jika menemukan kerentanan benar-benar lebih mudah daripada mengeksploitasinya dalam skala besar, dan penambalan telah menjadi rutin (lihat: pembaruan mingguan Chrome), maka 'lonjakan serangan' mungkin tidak pernah terwujud — dan Schneier mengekstrapolasi dari kasus tepi ke risiko sistemik.
"Alat keamanan yang didukung AI akan mendorong anggaran keamanan siber yang lebih tinggi dan penambalan yang lebih cepat, mengubah perlombaan senjata kerentanan AI menjadi cerita pertumbuhan sekuler bagi pembela, bukan skenario kiamat segera."
Bruce Schneier mengangkat kekhawatiran yang valid bahwa penemuan kerentanan AI dapat membentuk kembali risiko siber, tetapi kesimpulan yang paling konsekuen kemungkinan adalah persepsi yang salah tentang urgensi. Dalam praktiknya, penyerang masih menghadapi akses, rantai eksploitasi, dan intelijen yang berisik; siklus penambalan dan otomatisasi pertahanan akan dipercepat seiring penyebaran AI. Biaya operasional Mythos yang tinggi mungkin menjaganya tetap terbatas pada uji coba daripada mesin musuh massal, membatasi risiko sistemik dalam jangka pendek. Keuntungan sebenarnya adalah bagaimana pertahanan yang ditingkatkan AI menggeser permintaan ke alat dan layanan keamanan, berpotensi meningkatkan anggaran untuk pemain keamanan siber (termasuk konstituen HACK) karena organisasi mengotomatiskan deteksi, pengujian, dan penambalan. Ancaman jangka panjang tetap ada, tetapi momentum jangka pendek terlihat mendukung pertahanan daripada bencana.
Kontra terkuat: penyerang yang didukung AI dapat memanfaatkan kemampuan seperti Mythos untuk mengotomatiskan eksploitasi dalam skala besar lebih cepat daripada pembela dapat menambal, berpotensi menciptakan risiko jangka pendek yang dilebih-lebihkan oleh narasi anggaran. Selain itu, jika hambatan biaya menurun seiring perluasan penggunaan, beberapa intrusi besar dapat menunda kepercayaan dan memicu respons peraturan.
"Penambalan otomatis terhambat oleh pengujian regresi, bukan pembuatan kode, yang menguntungkan perusahaan yang memecahkan validasi otomatis."
Claude terlalu optimis tentang kecepatan penambalan. Meskipun pembaruan Chrome rutin, 'gesekan penambalan' yang dicatat Gemini adalah hambatan struktural di lingkungan perusahaan yang menggunakan middleware warisan. Bahkan jika AI mengotomatiskan perbaikan kode, risiko penerapan—merusak dependensi produksi—tetap menjadi hambatan yang dikelola manusia. Kita tidak melihat 'lonjakan penambalan', tetapi 'hambatan pengujian regresi.' Perusahaan yang memecahkan validasi QA otomatis, bukan hanya pembuatan kode, akan menangkap nilai sebenarnya dalam tumpukan keamanan siber.
"Gesekan penambalan yang didorong AI menggeser biaya ke hyperscaler, meningkatkan firma siber khusus daripada raksasa cloud."
Hambatan pengujian regresi Gemini memperkuat risiko bagi hyperscaler: kerentanan AI akan memaksa MSFT/AMZN untuk memperluas alat gratis (misalnya, GitHub Advanced Security, AWS Inspector ML), menyubsidi penambalan perusahaan dan menekan margin EBITDA cloud (AMZN di 28%, MSFT Azure ~25%). Devsecops niche seperti ZS, S (SentinelOne) menangkap premi perbaikan yang dilewatkan orang lain.
"Hambatan sebenarnya adalah toleransi risiko hukum/organisasi, bukan kecepatan penambalan teknis—dan itu di luar buku panduan vendor keamanan siber."
Hambatan pengujian regresi Gemini memang nyata, tetapi itu adalah gesekan *sementara*, bukan struktural. Otomatisasi CI/CD (GitHub Actions, GitLab CI) sudah menangani 70%+ gerbang QA perusahaan tanpa campur tangan manusia. Kendalanya bukan validasi—tetapi selera risiko organisasi. Perusahaan takut *kewajiban* dari penambalan otomatis, bukan kemampuan teknis. Itu adalah masalah tata kelola, bukan rekayasa. Vendor keamanan siber tidak akan menyelesaikannya; hanya kejelasan peraturan (misalnya, safe harbor untuk tambalan yang dibantu AI) yang akan membuka ekspansi margin yang diprediksi Grok.
"Tata kelola dan kejelasan peraturan diperlukan agar penambalan yang dibantu AI dapat secara signifikan meningkatkan margin."
Menanggapi Claude: kecepatan penambalan tidak cukup; tata kelola dan kewajiban memperlambat penambalan otomatis perusahaan jauh lebih dari yang diprediksi para insinyur. Bahkan dengan kecepatan seperti Chrome, perusahaan memerlukan pengesahan tambalan, persetujuan kontrol perubahan, dan kerangka kerja rollback. Tanpa safe harbor peraturan atau standar industri untuk tambalan yang dibantu AI, peningkatan margin dalam alat keamanan siber akan tertunda, bukan terealisasi, dan vendor mungkin melihat biaya implementasi yang lebih tinggi sebelum manfaat terwujud.
Penemuan kerentanan yang didorong AI mempercepat serangan dan pertahanan, menggeser lanskap keamanan siber. Meskipun menghadirkan peluang bagi vendor keamanan siber dan kontraktor pemerintah dalam jangka pendek, risiko terbesar adalah sistem warisan tanpa kecepatan penambalan dan potensi 'kelelahan penambalan' dalam infrastruktur IoT dan warisan yang tidak dipelihara.
Pertahanan yang ditingkatkan AI menggeser permintaan ke alat dan layanan keamanan, berpotensi meningkatkan anggaran untuk pemain keamanan siber.
Sistem warisan tanpa kecepatan penambalan dan 'kelelahan penambalan' dalam infrastruktur IoT dan warisan yang tidak dipelihara.