Ada yang menggunakan Claude Opus 4.8 menemukan sebuah Bug, yang menyebabkan kapitalisasi pasar sebuah mata uang kripto menguap sebesar 4,5 miliar dolar.

Awal kejadian ini bermula dari sebuah audit keamanan. Zcash adalah jaringan privasi lama, menggunakan bukti nol pengetahuan untuk melindungi informasi transaksi, Orchard adalah pusat utama dari kemampuan transaksi privasi tersebut.

Pada 29 Mei, peneliti keamanan Taylor Hornby dalam audit protokol yang ditugaskan oleh Shielded Labs, menemukan sebuah celah serius di Orchard, yang memungkinkan penyerang menciptakan token yang seharusnya tidak ada, yaitu "penambahan tak terbatas".

Zcash kemudian melakukan upgrade darurat dalam beberapa hari, dan mengonfirmasi bahwa celah tersebut memang ada, tetapi tidak bisa memastikan apakah sudah ada yang memanfaatkannya untuk menambah token. Setelah pernyataan resmi dirilis pada 5 Juni, harga Zcash jatuh 50%.

Opus 4.8 dari Anthropic dirilis pada 28 Mei, dan keesokan harinya, celah ini sudah ditemukan.

Bukan Mythos, melainkan Opus

Kejadian ini di Zcash sangat mengagetkan, bukan karena AI yang kuat, tetapi karena kekuatannya kali ini terlalu biasa.

Sebelumnya, yang benar-benar ditakuti di industri keamanan adalah Claude Mythos Preview dari Anthropic. Pada April 2026, Anthropic mengumumkan sebuah penilaian kemampuan keamanan siber, menyatakan Mythos Preview mampu mengenali dan memanfaatkan celah zero-day di sistem operasi dan browser utama selama pengujian, beberapa celah sangat tersembunyi, bersembunyi selama lebih dari sepuluh tahun, salah satu bug di OpenBSD bahkan bisa ditelusuri kembali ke 27 tahun lalu.

Penilaian tersebut juga menyebutkan, seorang insinyur tanpa latar belakang keamanan pun bisa membiarkan Mythos Preview bekerja sepanjang malam untuk mencari celah eksekusi kode jarak jauh, dan keesokan harinya sudah bisa melihat satu set kode serangan lengkap dan siap pakai.

Ini berarti sebuah kemampuan yang dulu hanya dimiliki oleh segelintir orang dalam jangka panjang, kini menjadi layanan yang bisa diakses siapa saja kapan saja. Kemampuan ini sendiri tidak memiliki posisi moral, perbedaannya terletak pada siapa yang menggunakannya dan untuk apa.

Anthropic sendiri juga menyadari hal ini. Oleh karena itu mereka membuat Project Glasswing, pertama-tama menyerahkan Mythos Preview kepada beberapa organisasi kecil untuk digunakan dalam pekerjaan pertahanan keamanan. Mereka juga mengakui bahwa model selevel ini membutuhkan perlindungan yang lebih kuat dan batasan penggunaan yang lebih ketat agar bisa dibuka untuk umum.

Namun dalam kasus Zcash, yang digunakan bukan Mythos yang masih terkunci, melainkan Opus 4.8 yang sudah dirilis, sudah tersedia, dan sudah masuk ke alur kerja orang biasa.

AI memasuki bidang keamanan, memberi tim kecil kemampuan audit sebesar tim besar. Ia mempercepat penemuan bug oleh pemelihara, sekaligus mempercepat pembacaan sistem oleh penyerang.

Dan yang paling berbahaya bukanlah model yang paling kuat, melainkan model yang cukup kuat, cukup murah, dan cukup umum.

Semakin biasa modelnya, semakin banyak orang yang bisa menggunakannya. Jadi masalahnya bukan lagi apakah AI bisa menemukan celah, tetapi: ketika semua orang bisa menemukannya, apa yang akan terjadi.

Ketika Menemukan Bug Menjadi Gerakan Massal

Setelah AI membuat penemuan celah menjadi lebih murah, akan muncul dua hal.

Satu adalah palsu, laporan keamanan yang tampak profesional tapi sebenarnya tidak bisa diverifikasi secara nyata. Yang lain adalah yang asli, celah yang dulu tersembunyi di kedalaman sistem, membutuhkan waktu berminggu-minggu bahkan berbulan-bulan bagi para ahli untuk menemukannya, kini mulai bisa ditemukan lebih cepat.

Yang pertama akan membanjiri pemelihara, yang kedua akan menembus sistem. Lebih rumit lagi, keduanya bisa datang bersamaan.

Keamanan siber sebenarnya memiliki narasi ideal: white hat menemukan celah, mengungkapkan secara bertanggung jawab, produsen memperbaiki, dan pengguna diuntungkan.

Dulu, banyak dari proses ini berjalan sesuai narasi tersebut. Tapi ketika AI menurunkan ambang batas "menemukan celah", dan semua orang bisa menggunakan model terbuka untuk mencari bug, yang datang adalah banyak orang yang ingin mendapatkan bounty atau membangun reputasi. Banyak dari mereka hanya menyalin prompt, lalu membiarkan model menghasilkan laporan yang tampak cukup bagus. Tapi laporan itu tidak selalu benar.

Namun, apapun keasliannya, pemelihara harus menanggapinya dengan serius.

OpenSSF mengadakan diskusi tentang "Laporan Sampah AI" pada Februari 2026, khusus membahas bagaimana para pemelihara open source harus menghadapi laporan celah berkualitas rendah yang dihasilkan AI. curl pernah melaporkan bahwa hingga pertengahan 2025, hanya sekitar 5% dari bounty yang diajukan adalah celah nyata, dan sekitar 20% tampak seperti konten berkualitas rendah yang dihasilkan AI. OpenSSF menyebut laporan semacam ini seperti DDoS, hanya saja yang diserang adalah perhatian manusia.

Pemelihara open source bukan pusat layanan pelanggan. Banyak dari mereka tidak digaji, tidak punya tim keamanan, dan tidak punya jadwal kerja tetap. Tapi sebuah proyek bisa menopang banyak sistem komersial di dunia. Perusahaan yang menghemat biaya besar berkat open source mungkin tidak memberi bayaran kepada pemelihara; tapi jika terjadi masalah, mereka akan kembali menanyakan mengapa tidak diperbaiki lebih awal.

Curl kemudian menutup program bounty celah karena mereka tidak mampu lagi. Laporan keamanan sebenarnya bagian dari garis pertahanan, tapi ketika laporan dipenuhi sampah, garis pertahanan ini malah menguras tenaga orang yang bertanggung jawab di belakangnya.

AI memberi lebih banyak orang kemampuan untuk mengajukan laporan celah, tetapi tidak memberi mereka kemampuan untuk menilai keaslian celah tersebut. Bisa membuat laporan dengan model tidak sama dengan memahami laporan itu; bisa menjalankan kode verifikasi, tapi tidak berarti tahu seberapa besar pengaruhnya.

Yang lebih berbahaya lagi, kita sebenarnya hidup di dunia di mana AI benar-benar bisa menemukan tak terhitung celah.

Keamanan kita dulu aman karena keberuntungan

Internet memberi ilusi terbesar bahwa sesuatu yang bisa berjalan pasti andal.

Smartphone bisa bayar, kereta api bisa scan QR, rumah sakit bisa daftar janji; bahkan di cloud storage tersimpan foto lama kita dari sepuluh tahun lalu, kita sudah lupa, tapi cloud tidak. Hal-hal ini bekerja setiap hari, sehingga kita menganggap semuanya tidak bermasalah. Kepercayaan manusia terhadap teknologi seringkali bukan karena yakin, tetapi karena malas untuk meragukan.

Tapi kode seperti bangunan tua yang terus ditambah lantai. Di bawahnya ada protokol lama, perpustakaan lama, di atasnya ada kebutuhan darurat dan "langsung jalan dulu", dan di puncaknya ada kode warisan yang tidak pernah dihapus. Lampu menyala, lift berjalan naik turun, pengelola bilang semuanya normal. Tapi tidak ada yang tahu apakah ada retakan di balik dinding.

Contoh paling terkenal adalah Heartbleed. Sebuah celah di OpenSSL yang memungkinkan penyerang membaca kunci privat dan password dari memori server, baru ditemukan dan diperbaiki pada 2014. Sebelumnya, celah ini sudah bersembunyi selama lebih dari dua tahun, dan saat itu lebih dari 60% situs aktif di seluruh dunia berjalan di server yang terpengaruh. Dua tahun itu, separuh besar internet hampir berjalan tanpa perlindungan, tanpa orang yang tahu.

Contoh lain adalah Baron Samedit di sudo. Pada 2021, Qualys mengungkapkan bahwa celah ini sudah ada di sudo selama hampir sepuluh tahun, dan sudo adalah salah satu alat izin paling umum di dunia Unix/Linux.

Banyak lagi contoh serupa. Jika dilihat bersama, kita akan merasa beruntung bisa berselancar di internet dengan aman sampai hari ini.

Mengapa celah ini tidak ditemukan selama bertahun-tahun?

Jawabannya sangat sederhana: biaya menemukan celah terlalu tinggi.

Biaya ini bukan hanya uang, tetapi juga waktu dan kesabaran. Membaca kode, menyiapkan lingkungan, memahami protokol, mereproduksi kondisi batas, menulis kode verifikasi, menilai dampaknya, dan membedakan false positive. Kadang program berjalan semalaman tanpa hasil, satu jalur sudah dicoba habis, tapi ternyata tidak bisa dilalui. Para peneliti keamanan dan hacker di dunia nyata seringkali saling menyiksa dengan detail yang rusak.

Banyak celah bisa bertahan lama bukan karena mereka sangat misterius, tetapi karena orang yang mau, mampu, dan bersedia terus mencari sangat sedikit.

AI mengubah struktur biaya ini.

Dulu, banyak celah tersembunyi di sudut-sudut, dengan sedikit alat. Sekarang, alat-alat itu mulai dijual secara massal.

Tapi alat yang sama ini, yang bisa melihat retakan dan juga bisa digunakan untuk menyerang, membuat "penemuan" menjadi murah sekaligus "serangan" juga menjadi murah. Ketika seseorang menggunakan AI hari ini untuk mengirim laporan bug berkualitas rendah ke proyek open source, besok mereka bisa menggunakan metode yang sama untuk menyerang sistem perusahaan; hari ini mereka tertarik pada bounty celah, besok mungkin tertarik pada dana di blockchain.

Di balik internet yang normal

Sebelum benar-benar terjadi sesuatu, kita tidak bisa merasakan keberadaan "keamanan internet".

Misalnya, saat membuka Alipay, scan QR, bayar, dan dana masuk, seluruh proses mungkin kurang dari tiga detik. Kita tidak menyadari berapa banyak aturan pengendalian risiko, sidik jari perangkat, pengenalan perilaku, penanggulangan kejahatan siber, respons celah, dan rencana darurat yang berjalan di belakang layar.

Pada Mei 2026, AntSRC mengadakan kegiatan "Operasi Pemburu" untuk memberi hadiah celah, mencakup berbagai layanan seperti Alipay, Huabei, Jiebei, Ant Fortune, MyBank, Digital Science, dan Ant International. Untuk celah berisiko tinggi dan serius di transaksi pembayaran, dana hadiah bisa sampai lima kali lipat, mencapai 71.500 yuan.

Perusahaan besar juga sadar, mereka tidak bisa mengandalkan tim internal saja untuk menemukan semua masalah, sehingga mereka harus melibatkan organisasi white hat eksternal dalam proses resmi. Keamanan lebih mirip rantai kolaborasi panjang: ada yang menemukan serangan, ada yang memverifikasi, memberi tingkat keparahan, memperbaiki, merilis, dan harus ada orang yang mengawasi agar tidak menyakiti pengguna normal. Jika salah satu bagian putus, seluruh rantai ini tidak akan berjalan.

Laporan situasi keamanan dari Alibaba Cloud pada Oktober 2025 menyebutkan bahwa platform cloud mereka setiap hari melindungi dari 6,245 miliar serangan, memblokir 27.500 IP berbahaya; bulan itu, mereka mendeteksi dan menahan 102.800 serangan DDoS, dengan puncak 2.1 Tbps.

Kegiatan "normal" kita di internet sebenarnya adalah jalur sempit yang diambil oleh para insinyur keamanan dari lautan anomali. Internet tidak pernah tenang.

Pemelihara open source tidak punya anggaran, tidak punya jadwal, dan tidak punya tim darurat; perusahaan besar bisa membeli semua itu. Tapi bahkan perusahaan besar pun hanya bisa mengandalkan rantai kolaborasi manusia yang panjang, untuk menekan anomali sampai tingkat yang tidak dirasakan pengguna biasa.

Dan rantai kolaborasi yang panjang dan rapuh ini sudah penuh beban sebelum AI masuk secara besar-besaran. Sekarang, jika kita menambah celah dan laporan berkali lipat, akankah orang yang bertanggung jawab cukup?

Setelah menemukan celah, siapa yang akan memperbaikinya?

Laporan keamanan dunia maya ISC2 tahun 2024 memperkirakan, ada sekitar 5,5 juta profesional keamanan siber aktif di seluruh dunia, dan kekurangan tenaga mencapai 4,8 juta, meningkat 19% dari tahun sebelumnya. Mereka menjelaskan bahwa "kekurangan" ini bukan hanya soal banyaknya posisi kosong di situs rekrutmen, tetapi juga selisih antara orang yang merasa perlu dilindungi secara memadai dan orang yang benar-benar tersedia.

Angka ini sangat sederhana: banyak celah, orangnya tidak cukup.

Dan bukan hanya jumlah orang yang kurang, tetapi juga orang yang mampu melakukan pekerjaan kompleks. ISC2 juga menyebutkan, 67% responden mengatakan organisasi mereka mengalami kekurangan tenaga keamanan siber, 58% merasa kekurangan ini menimbulkan risiko besar, 31% mengatakan tim keamanan mereka tidak punya pegawai tingkat pemula, dan 15% tidak punya pegawai dengan pengalaman 1-3 tahun. Banyak organisasi tidak hanya kekurangan orang, tetapi juga kekurangan jalur pengembangan generasi berikutnya.

Ini lebih rumit daripada sekadar kekurangan orang. Kekurangan orang hari ini adalah masalah jangka pendek; tanpa pegawai pemula, masa depan juga tidak akan cukup orang.

Laporan pengembangan sumber daya manusia industri keamanan siber di era AI di Tiongkok juga menyajikan data: pada 2025, 46,2% dari para profesional memiliki gaji tahunan pra-pajak antara 200.000 hingga 300.000 yuan. Pasar bersedia membayar untuk talenta inti, karena orang yang mampu menangani ancaman kompleks dan membuat penilaian saat insiden sangat langka. Laporan juga menunjukkan, 56,5% dari mereka mengatakan AI membantu mereka lebih fokus pada analisis ancaman kompleks, dan 33,0% beralih dari eksekusi ke strategi.

Ini sangat penting.

Saat ini, yang paling kita butuhkan adalah orang yang mampu membaca celah di tengah malam, menilai dampaknya, mengoordinasikan seluruh rantai, dan menulis patch. Keamanan bukan pekerjaan yang mengandalkan keberuntungan sesaat, tetapi pekerjaan berat dan kotor. Jika kita membagi kata "keamanan siber", isinya hanya laporan palsu, kesalahan, patch yang tak pernah selesai, rapat yang tak pernah berakhir, dan panggilan telepon jam tiga pagi yang membangunkanmu.

Bakteri pes tidak pernah hilang

Camus menulis sebuah novel berjudul "The Plague" (Wabah).

Kisahnya terjadi di sebuah kota kecil di Afrika Utara. Wabah tiba-tiba meletus, gerbang kota ditutup, semua orang terjebak di dalam. Kehidupan sehari-hari hancur dalam semalam. Awalnya mereka panik, lalu menjadi mati rasa, dan akhirnya terbiasa. Sampai akhirnya wabah mereda, gerbang dibuka kembali, dan jalanan kembali penuh tawa dan canda.

Camus di akhir novel mengatakan: "Menurut catatan medis, bakteri pes tidak pernah benar-benar mati, dan tidak akan hilang. Mereka bisa bertahan di perabotan, pakaian, selimut selama puluhan tahun; menunggu di kamar, ruang bawah tanah, koper, sapu tangan, dan kertas bekas. Mungkin suatu hari, wabah akan kembali membangkitkan kawanan tikusnya, menguburkan mereka di kota yang bahagia, dan manusia akan kembali terserang penyakit, belajar dari pengalaman."

Saya selalu merasa, kalimat ini sangat cocok untuk menggambarkan celah di dunia maya.

Celah itu bukan muncul hari saat ditemukan. Ia sudah lama berada di dalam kode, tidak terdengar napasnya, dan karena itu kita salah menganggap tenang sebagai aman.

Kita sudah terbiasa dengan rutinitas yang tidak lagi dipertanyakan, semuanya berjalan di atas kode. Ada utang lama di dalam kode, utang lama yang tidak segera dilunasi karena orang yang menagih sedikit. Setelah AI datang, orang yang menagih tiba-tiba bertambah banyak.

Yang menakutkan bukan hanya hacker yang bertambah banyak. Di sisi lain sistem, orang yang menangani masalah tidak bertambah seimbang.

Inilah perjuangan terbesar di era keamanan AI. Kemampuan menyebar sendiri, tanggung jawab tidak; menemukan celah semakin murah, memperbaikinya tetap mahal seperti dulu. Kerusakan bisa diduplikasi dengan skrip berkali-kali, tetapi kepercayaan hanya bisa dibangun kembali secara perlahan, satu sistem dan satu tim.

AI tidak akan menghancurkan internet dalam semalam. Ia lebih seperti menyalakan lampu. Kita akhirnya menyadari bahwa kehidupan digital bukanlah tatanan otomatis yang alami, melainkan hasil kerja keras orang-orang yang terus-menerus menekan risiko sampai kita tidak menyadarinya.

Ke depannya, yang benar-benar mahal bukan lagi menemukan celah, tetapi apakah masih ada cukup orang yang bersedia memperbaiki celah demi celah.

ZEC0,45%

Lihat Asli

Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.

2 Suka