Claude Mythos Preview adalah model AI universal yang, menurut Anthropic, kinerjanya jauh lebih unggul daripada model-model sebelumnya dalam berbagai pengujian, termasuk dalam hal pemrograman (coding) dan penalaran (reasoning).
Anthropic menambahkan, model ini begitu canggih sehingga mereka memutuskan untuk tidak merilisnya ke publik. Perusahaan menjelaskan bahwa beberapa model AI telah mencapai tingkat kemampuan pemrograman yang memungkinkan mereka mengungguli semua orang kecuali manusia paling terampil dalam menemukan dan memanfaatkan kerentanan perangkat lunak.
Menurut Anthropic, Mythos Preview telah menemukan ribuan kerentanan “zero-day” selama pengujian, termasuk di setiap sistem operasi utama dan setiap peramban web utama.
“Zero-day” adalah celah yang sebelumnya tidak diketahui oleh developer software — nama tersebut mengimplikasikan bahwa mereka memiliki waktu nol hari untuk menyelesaikan masalah. Kerentanan ini sering kali menjadi tambang emas bagi peretas karena menawarkan jendela kebebasan penuh di dalam sistem yang rentan.
Mythos mampu mengidentifikasi celah-celah ini dengan intervensi manusia yang lebih sedikit dibandingkan model-model sebelumnya, kata Anthropic.
“Mythos Preview menunjukkan lompatan dalam keterampilan siber ini — kerentanan yang telah diidentifikasinya dalam beberapa kasus telah bertahan selama puluhan tahun melalui tinjauan manusia dan jutaan uji keamanan otomatis,” kata perusahaan tersebut.
Di tangan kelompok ransomware atau kelompok musuh, alat semacam ini dapat menyebabkan serangan siber yang lebih dahsyat dan sering.
Para peneliti mengatakan bahwa mereka belum diberi akses untuk memverifikasi secara independen klaim Anthropic mengenai kinerja Mythos. Gang Wang, seorang profesor madya ilmu komputer di Universitas Illinois, mengatakan bahwa sulit untuk menilai signifikansi Mythos Preview tanpa pengujian langsung yang lebih mendalam.
Siapa yang akan memiliki akses ke Mythos?
Anthropic menamai rencananya untuk memberikan akses kepada grup mitra terpilih yang telah diverifikasi sebagai Project Glasswing, yang diambil dari nama jenis kupu-kupu dengan sayap transparan yang memungkinkannya bersembunyi di depan mata.
Peserta termasuk Amazon.com Inc., Apple Inc., Google (anak perusahaan Alphabet Inc.), Microsoft Corp., Nvidia Corp., Palo Alto Networks Inc., CrowdStrike Holdings Inc., Broadcom Inc., Cisco Systems Inc., JPMorgan Chase, dan Linux Foundation, sebuah organisasi nirlaba yang mendukung proyek perangkat lunak sumber terbuka.
Anthropic menggambarkan proyek ini sebagai “upaya mendesak guna memanfaatkan kemampuan ini demi tujuan pertahanan.”
Kelompok usaha dan organisasi ini akan menggunakan Mythos sebagai bagian dari upaya keamanan defensif mereka, dan Anthropic berencana membagikan temuan proyek ini agar pihak lain dapat memanfaatkannya.
Banyak perusahaan sudah menggunakan apa yang disebut latihan penetrasi, di mana mereka mempekerjakan spesialis untuk menguji sistem mereka guna menemukan celah agar dapat diperbaiki sebelum peretas masuk.
Mythos dapat memungkinkan perusahaan mempercepat proses tersebut, sehingga mereka dapat menemukan lebih banyak celah dengan lebih cepat dan meminimalkan peluang serangan potensial.
Alasan perilisan Mythos oleh Anthropic sebagai “momen penting”?
Anthropic menggambarkan Mythos Preview sebagai “titik balik pada bidang keamanan.” Berdasarkan sifatnya, kerentanan zero-day sulit untuk ditemukan, dan telah terbentuk sebuah industri kecil dan samar yang berfokus pada pencarian kerentanan tersebut dan menjualnya kepada badan intelijen pemerintah, seringkali dengan harga jutaan dolar AS.
Menurut Anthropic, kerentanan yang ditemukan Mythos Preview seringkali “halus dan sulit dideteksi” dan termasuk celah berusia 27 tahun di OpenBSD, sebuah sistem operasi yang menurut Anthropic memiliki reputasi sebagai salah satu yang paling tangguh dalam hal keamanan di dunia.
Mythos juga dilaporkan mampu mengubah kerentanan yang sudah diketahui namun belum banyak diperbaiki menjadi “eksploit” yang dapat digunakan peretas untuk menyusup ke jaringan komputer. Misalnya, Mythos menemukan dan menggabungkan beberapa celah di kernel Linux — inti dari sistem operasi dan sifware yang menjalankan sebagian besar server internet di dunia — untuk memungkinkan penyerang mengambil kendali penuh atas mesin tersebut.
Orang-orang yang bukan ahli juga meminta Mythos Preview untuk menemukan cara mengambil alih tanggung jawab komputer dari jarak jauh dalam semalam, dan keesokan paginya mereka menemukan eksploit yang lengkap dan berfungsi, kata Anthropic.
Mythos adalah salah satu dari beberapa tools AI baru yang mampu mendeteksi kerentanan zero-day atau mengembangkan eksploit. Codex Security dari OpenAI dan Big Sleep agent dari Google telah dikembangkan untuk mendeteksi kerentanan. OpenAI juga sedang menyempurnakan sebuah produk dengan kemampuan keamanan siber canggih yang rencananya akan diluncurkan kepada mitra-mitra terpilih, menurut dilaporkan Axios.
Pada bagian lain, para peneliti di sebuah startup keamanan siber Israel bernama Buzz mengatakan bahwa mereka telah membangun alat otonom yang menggabungkan lima agen AI yang memiliki tingkat keberhasilan 98% dalam mengeksploitasi kelemahan yang sudah diketahui.
Proteksi yang telah diterapkan
Bagi Anthropic, mekanisme perlindungan masih terus dikembangkan. “Kami telah melihatnya mencapai tingkat keandalan dan keselarasan yang belum pernah terjadi sebelumnya,” tulis Anthropic, yang berarti tool tersebut sepadan dengan apa yang diinginkan manusia.
“Namun, pada kesempatan terbatas saat sistem gagal atau bertindak aneh, kami melihatnya mengambil tindakan yang kami anggap cukup mengkhawatirkan.”
Pada satu kasus, seorang peneliti mendesak versi awal Mythos untuk mencoba melarikan diri dari komputer “sandbox” yang aman dan terisolasi, lalu mencari cara untuk mengirim pesan kepada orang tersebut. Tool tersebut berhasil, tetapi kemudian terus mengambil “tindakan tambahan yang lebih mengkhawatirkan,” dengan mengembangkan eksploitasi bertahap untuk mendapatkan akses internet.
Anthropic menyatakan bahwa mereka tidak berencana merilis Mythos Preview secara publik, mengingat potensi penyalahgunaannya. Namun, perusahaan ini pada akhirnya berharap dapat memungkinkan pengguna untuk menerapkan “model kelas Mythos” secara luas untuk keperluan keamanan siber dan penggunaan lainnya. “Untuk melakukannya, kami perlu membuat kemajuan dalam mengembangkan pengamanan keamanan siber (dan lainnya) yang dapat mendeteksi dan memblokir hasil model yang paling berbahaya,” kata mereka.
Untuk bug dengan tingkat keseriusan tertinggi yang ditemukan oleh Mythos, manusia terlibat: Para ahli memvalidasi penemuan tersebut sebelum mengirimkan informasi tersebut kepada orang-orang yang mengelola kode, menurut Anthropic. Ini adalah proses yang diperlukan namun memakan waktu, namun proses ini mungkin pada akhirnya dapat dihilangkan seiring dengan peningkatan model, kata Wang dari Universitas Illinois.
Apakah Mythos unggul bagi para pengawal keamanan siber dibandingkan hacker?
Mungkin, tetapi mungkin butuh waktu. Proses Anthropic dalam mengungkap kelemahan kepada pihak yang mengelola perangkat lunak atau sistem komputer bisa memakan waktu lama. Sejauh ini, kurang dari 1% dari potensi kerentanan yang ditemukan oleh Mythos Preview telah diperbaiki sepenuhnya, kata perusahaan tersebut.
Pada saat yang sama, para hacker memanfaatkan AI mempercepat proses pencarian dan eksploitasi kerentanan begitu kerentanan tersebut diungkap. Hal ini membuat para profesional keamanan siber memiliki waktu yang semakin sedikit untuk memperbaiki jaringan mereka. Dalam unggahan blog pada 30 Maret, CEO Palo Alto Networks, Nikesh Arora, memperingatkan bahwa hambatan untuk serangan canggih akan terus berkurang selama enam bulan ke depan. “Seorang pelaku kejahatan tunggal kini akan mampu menjalankan kampanye yang sebelumnya membutuhkan seluruh tim,” tulisnya.
Yair Saban, CEO Buzz dan mantan anggota Unit 8200 Israel, mengatakan bahwa enam developer membutuhkan tiga minggu untuk mengembangkan alat peretasan berbasis AI mereka. Pihak lain, termasuk mata-mata siber negara dan peretas kriminal, tentu dapat melakukan hal yang sama, kata dia.
(bbn)
