Kerentanan dari pengungkapan hingga serangan hanya membutuhkan waktu 4 jam, kolom Bloomberg memperingatkan: Era "Pengungkapan Bertanggung Jawab" Mythos telah berakhir

Bloomberg Opinion Teknologi kolumnis Parmy Olson menggunakan model terkuat Anthropic Mythos sebagai pengantar, mengungkapkan sebuah krisis keamanan siber yang lebih mendasar: waktu dari pengungkapan kerentanan perangkat lunak hingga dapat dimanfaatkan, telah dipersempit dari rata-rata 771 hari pada 2018 menjadi kurang dari 4 jam. Dia dalam kolumnya menunjukkan bahwa masalah sebenarnya bukanlah apakah bank besar mampu bertahan—mereka punya cukup uang dan orang—melainkan bahwa banyak usaha kecil dan menengah sama sekali tidak memiliki pertahanan dalam era serangan agenik berbasis AI, dan model industri yang sudah digunakan selama bertahun-tahun, responsible disclosure, juga secara faktual telah dinyatakan mati.
(Prakata: Institut Keamanan AI Inggris menilai Claude Mythos: mampu menyelesaikan simulasi serangan siber perusahaan 32 langkah secara mandiri)
(Latar belakang tambahan: Coinbase, Binance mencari akses ke model Claude Mythos untuk memperkuat keamanan siber, apakah AI terkuat bisa mengakhiri peretasan cryptocurrency?)

Daftar Isi Artikel

Toggle

• Telepon dari Menteri Keuangan, dan konfirmasi dari arbiter paling netral
• Bank besar bukanlah masalah utama
• Kematian Responsible Disclosure
• Mythos mampu melakukan hal yang hanya bisa dilakukan oleh hacker top manusia
• Kesimpulan Olson yang dual: Anthropic punya kepentingan pribadi, tapi masalahnya nyata

771 hari, dipersempit menjadi 4 jam. Berdasarkan data dari zerodayclock.com, waktu rata-rata dari kerentanan perangkat lunak yang dipublikasikan hingga dapat dieksploitasi secara aktif, pada 2018 adalah 771 hari, sekarang sudah kurang dari 4 jam. Ini adalah percepatan lebih dari 4.600 kali—dan angka ini adalah pembuka yang dipilih oleh kolumnis teknologi Bloomberg Opinion Parmy Olson dalam kolom terbarunya yang penuh dampak.

Kolom Olson dimulai dari model flagship terbaru Anthropic Mythos, tetapi dia secara tegas menyatakan bahwa Mythos hanyalah gejala, bukan penyebabnya. Dia berpendapat bahwa lonjakan kemampuan AI ini benar-benar membangunkan bukan hanya bank, tetapi semua organisasi yang bergantung pada sistem digital—termasuk sebagian besar usaha kecil dan menengah yang sama sekali tidak menyadari kerentanannya.

Telepon dari Menteri Keuangan, dan konfirmasi dari arbiter paling netral

Setelah Mythos dirilis beberapa hari, Menteri Keuangan AS Scott Bessent langsung mengumpulkan para pemimpin Wall Street untuk memastikan kondisi perlindungan sistem. Olson mengamati bahwa langkah ini menciptakan “invaluable publicity” (pemasaran tak ternilai) bagi Anthropic, sekaligus memicu keraguan dari luar: “siapa yang bisa secara eksklusif mengintip ancaman yang ditimbulkannya?”

Dalam kolomnya, Olson juga menyebutkan bahwa Institut Keamanan AI Inggris (AISI) telah memperoleh akses ke Mythos. Dia menyebut AISI sebagai “the world’s top neutral arbiter of what counts as safe and secure AI” (arbiter netral teratas dunia tentang apa yang dianggap AI aman dan terpercaya), dan menunjukkan bahwa penilaian AISI mengonfirmasi bahwa sebagian dari hype Mythos memang beralasan.

AISI menemukan bahwa Mythos menunjukkan performa lebih baik dalam tugas serangan siber kompleks dibandingkan ChatGPT dari OpenAI dan Google Gemini. Tapi Olson juga menyoroti satu batasan utama AISI: Mythos paling berbahaya terhadap sistem yang “weakly defended” (pertahanan lemah) atau “simplified” (sederhana).

Batasan ini menjadi titik balik utama dalam seluruh argumen Olson.

Bank besar bukanlah masalah utama

Olson menulis bahwa bank besar memiliki infrastruktur keamanan TI terkuat di dunia. Langkah Bessent mengumpulkan para eksekutif Wall Street memang menarik perhatian, tetapi dia berpendapat bahwa kerentanan sebenarnya bukanlah JPMorgan atau Goldman Sachs—melainkan “the much broader array of small and medium-sized companies” (berbagai usaha kecil dan menengah yang jauh lebih luas).

Usaha-usaha kecil dan menengah ini adalah medan utama bagi hacker yang menggunakan alat AI untuk melakukan serangan.

Kematian Responsible Disclosure

Untuk memahami mengapa situasi ini begitu mendesak, Olson menelusuri kembali praktik “responsible disclosure” yang sudah digunakan selama bertahun-tahun di industri: peneliti keamanan menemukan kerentanan, lalu memberi tahu vendor dan mengungkapkannya secara terbuka, memberi waktu pengguna untuk memperbaiki, dan hacker pun bisa melihat detailnya.

Patch Tuesday dari Microsoft adalah contoh klasik dari praktik ini—setiap bulan mereka merilis pembaruan keamanan secara rutin. Tim TI bank besar seperti Barclays dan Wells Fargo harus menguji patch, mendapatkan persetujuan manajemen, dan menyelesaikan deployment, yang biasanya memakan waktu berminggu-minggu hingga berbulan-bulan.

Olson menunjukkan bahwa sebelum munculnya AI generatif, proses ini berjalan normal—karena hacker juga membutuhkan waktu lama untuk menganalisis detail kerentanan dan mengembangkan metode serangan. Tapi dia menyoroti bahwa dua tahun lalu, situasinya sudah berubah: hacker cukup menempelkan detail kerentanan ke ChatGPT, lalu membiarkannya memindai pola kerentanan serupa di GitHub, dan alat serangan bisa langsung dibuat secara hampir instan.

Percepatan dari 771 hari menjadi 4 jam ini menunjukkan bahwa logika Patch Tuesday sudah tidak berlaku lagi. Olson secara tegas mempertanyakan: “whether ‘responsible disclosure’ is such a smart idea in the first place” (apakah praktik responsible disclosure masih masuk akal?) dan “whether the process of patching flaws over weeks and months is now fruitless” (apakah proses memperbaiki kerentanan selama berminggu-minggu atau berbulan-bulan sudah tidak berguna lagi?).

Mythos mampu melakukan hal yang hanya bisa dilakukan oleh hacker top manusia

Olson menulis bahwa bahaya unik Mythos terletak pada kemampuannya untuk “chain” kerentanan perangkat lunak, melakukan serangan multi-langkah—yang sebelumnya hanya bisa dilakukan oleh hacker manusia dengan tingkat keahlian tinggi.

Dia menggunakan analogi pencuri: “seperti perencana pencurian yang menyusun serangkaian langkah masuk—menemukan jendela yang terbuka, membuka pintu dari dalam, mematikan alarm. Setiap langkah sendiri tidak cukup, tapi jika digabungkan, mereka bisa masuk sepenuhnya.”

Kemampuan ini menjadi lebih berbahaya dengan munculnya AI agentik. Olson menyebutkan bahwa perusahaan AI dalam beberapa bulan terakhir menambahkan kemampuan agen (agentic capabilities) ke model mereka, sehingga model bisa bertindak secara mandiri. Claude Cowork yang dirilis Anthropic Januari lalu sudah mampu mengirim email otomatis dan mengatur jadwal. Untuk hacker, alat agentic ini tidak hanya akan mencari kerentanan, tetapi juga secara otomatis mencoba berbagai jalur serangan sampai berhasil.

Olson menyimpulkan secara dual: Anthropic punya kepentingan pribadi, tapi masalahnya nyata

Di bagian akhir kolom, Olson tidak menghindar dari motif bisnis Anthropic. Dia menulis: “Anthropic’s disclosure of Mythos certainly benefits its own publicity efforts ahead of an initial public offering, adding to the mystique around the potency of its technology.” (Pengungkapan Mythos oleh Anthropic jelas membantu promosi mereka menjelang IPO, menambah aura misteri tentang kekuatan teknologi mereka.)

Namun dia juga menekankan bahwa hal ini tidak mengurangi keparahan masalah itu sendiri: “But it’s also forcing a much-needed reckoning over how the window of time between published IT flaws and their exploitation has effectively vanished.” (Ini juga memaksa kita untuk menghadapi kenyataan penting—selang waktu antara kerentanan yang dipublikasikan dan dieksploitasi secara efektif sudah hilang.)

Olson mengamati bahwa bahkan Wall Street pun belum tahu harus berbuat apa terhadap responsible disclosure. Bank-bank setidaknya memiliki sumber daya dan dana untuk mendorong perubahan struktural dalam deployment patch secara hampir waktu nyata. Tapi Olson berpendapat bahwa masalah yang lebih besar adalah usaha kecil dan menengah—yang membutuhkan tindakan cepat, tetapi saat ini belum didukung teknologi dan regulasi yang memadai dari pasar.

Sebelumnya, ZDNet pernah melaporkan daftar 15 langkah keamanan pribadi yang diajukan Andrej Karpathy sebagai kerangka pertahanan individu. Kolom Olson ini membahas krisis struktural di tingkat organisasi: ketika kerentanan dari pengungkapan ke weaponization hanya butuh waktu 4 jam, seluruh ekosistem keamanan siber yang bergantung pada asumsi “kamu masih punya waktu” harus didesain ulang.