Model keamanan tingkat senjata Anthropic Mythos mengalami akses tanpa izin: bagaimana mereka melakukannya?

Bloomberg melaporkan bahwa sebuah grup forum komunitas pribadi diduga mengumumkan secara terbuka pada hari yang sama bahwa model keamanan siber Mythos di bawah Anthropic berhasil melewati pengendalian, dan dengan hak akses yang dimiliki pihak ketiga kontraktor, mereka berhasil masuk ke sistem untuk menggunakan model tersebut, sehingga memicu kekhawatiran dari pihak luar terhadap tata kelola keamanan untuk model AI kelas teratas.

(Anthropic meluncurkan program keamanan siber global Glasswing, mengapa model baru Mythos tidak dibuka untuk digunakan oleh masyarakat?)

Hari pertama Mythos diluncurkan langsung disusupi akses tanpa izin

Pada 7 April, Anthropic mengumumkan model AI keamanan siber baru Claude Mythos, namun sebuah grup forum online pribadi yang identitasnya hingga kini belum dipublikasikan, menurut laporan, diam-diam telah memperoleh hak akses ke model tersebut.

Diketahui, kelompok ini tidak masuk melalui metode peretasan tradisional, melainkan memanfaatkan penguasaan format URL model Anthropic yang sebelumnya. Mereka secara rasional memperkirakan posisi online Mythos di dalam sistem. Celah pentingnya terletak pada seorang karyawan yang bekerja untuk kontraktor pihak ketiga di Anthropic. Ia pada awalnya memang memiliki otorisasi yang sah untuk melihat model AI Anthropic, dan anggota grup tersebut menyusup ke sistem melalui pintu masuk yang sesuai aturan.

Setelah kejadian itu, grup tersebut memberikan kepada Bloomberg tangkapan layar dan demonstrasi operasi real-time sebagai bukti, serta mengungkapkan bahwa mereka terus menggunakan Mythos hingga saat ini, tetapi menegaskan bahwa tujuan mereka hanya sebatas “mengutak-atik model baru”, tanpa niat melakukan tindakan perusakan apa pun, karena mereka tidak ingin ketahuan.

Apa itu Mythos? Mengapa memicu kekhawatiran dari pihak luar?

Claude Mythos adalah model AI yang dirancang khusus oleh Anthropic untuk pertahanan keamanan siber perusahaan, dan tim mendefinisikannya sebagai alat “terlalu kuat sehingga tidak cocok untuk dirilis ke publik”. Kemampuan utamanya adalah secara proaktif mengidentifikasi celah keamanan dalam sistem digital, membantu perusahaan menyelesaikan perbaikan sebelum diserang.

Namun, “pedang pertahanan” ini juga bisa menjadi “pisau bermata dua”. Anthropic mengakui bahwa jika Mythos jatuh ke tangan pihak yang berniat jahat, kemampuannya juga cukup untuk digunakan melakukan serangan. Karena itu, perusahaan melalui program keamanan siber bernama “Project Glasswing” hanya membuka Mythos untuk sejumlah kecil institusi besar atau perusahaan teknologi yang telah melalui peninjauan ketat.

Inti dari asumsi mekanisme pengendalian tertutup ini adalah: mitra yang dipercaya dapat memastikan bahwa hak akses satu sama lain tidak akan bocor.

(Kekhawatiran regulasi terkait Anthropic Mythos, para eksekutif Bessent dan Powell mengadakan rapat darurat dengan para pejabat bank)

Respons Anthropic: sedang diselidiki, tidak terpengaruh

Anthropic menyatakan: “Kami sedang menyelidiki sebuah laporan yang mengklaim akses tanpa izin ke Claude Mythos Preview dilakukan melalui lingkungan penyedia pihak ketiga.” Perusahaan menekankan bahwa hingga kini belum ditemukan bahwa sistem mereka terpengaruh, dan pada tahap awal insiden ini “lebih mungkin merupakan penyalahgunaan hak akses, bukan serangan peretas eksternal”.

Meskipun pengguna yang lebih dulu menggunakan Mythos belum melakukan tindakan berniat jahat, namun insiden itu sendiri tetap membuat para ahli keamanan siber sangat siaga. CEO perusahaan keamanan siber Smarttech247, Raluca Saceanu, mengatakan:

“Ketika alat AI yang kuat diakses atau digunakan di luar mekanisme pengendalian yang telah ditetapkan, risikonya tidak hanya menjadi satu peristiwa insiden keamanan siber, tetapi juga kemungkinan memunculkan kecurigaan terkait penipuan, penyalahgunaan jaringan, atau penggunaan berniat jahat lainnya.”

Apa dampaknya terhadap hal ini? Kelemahan pengendalian keamanan AI

Bagian yang benar-benar membuat khawatir dalam kejadian ini bukanlah karena ada yang mencoba untuk merusak, melainkan karena hal itu mengungkap kerapuhan sistematis: ketika perusahaan AI mendelegasikan akses terhadap model berisiko tinggi kepada penyedia pihak ketiga, setiap kelalaian dalam satu mata rantai mana pun dalam jaringan pengendalian dapat menjadi celah dan memicu krisis.

Kini, insiden Mythos mengingatkan seluruh industri bahwa, di saat kemampuan AI berkembang pesat, desain arsitektur keamanan tidak cukup hanya mengandalkan kepercayaan; dibutuhkan ketahanan institusional yang mampu menanggung kegagalan kepercayaan. Bagi Anthropic, cara membangun kembali kepercayaan publik terhadap mekanisme pengendalian mitranya akan menjadi tantangan yang lebih jangka panjang daripada sekadar investigasi.

Artikel ini: Model keamanan siber berlevel senjata Anthropic Mythos mengalami akses tanpa izin: bagaimana mereka melakukannya? Artikel pertama kali muncul di Lian News ABMedia.