Claude Opus menemukan celah sebesar 4,5 miliar dolar, refleksi di balik kejatuhan Zcash

Seorang peneliti keamanan menggunakan model Opus 4.8 dari Anthropic, membantu menemukan celah besar dalam protokol Zcash Orchard, AI sedang merombak pola keamanan jaringan.
（Kronologi sebelumnya: Anthropic meluncurkan model terbaru Claude Opus 4.8！Claude Code juga menambahkan "Dynamic Workflows", satu orang bisa setara dengan tim pengembang seratus orang）
（Tambahan latar belakang: Anthropic merilis open source workflow keamanan AI: tujuh tahap otomatis mencari celah, verifikasi hingga pembuatan patch）

Daftar isi artikel

Toggle

• Keruntuhan Zcash: AI temukan celah senilai 4,5 miliar dolar
• Mythos membeku: Anthropic mengunci model terkuat
• Laporan pembelian besar: AI menghasilkan sampah yang membanjiri pemelihara
• Keruntuhan celah: Heartbleed tersembunyi selama dua tahun setengah
• Penemuan menjadi lebih murah: biaya serangan menurun seiring waktu
• Kekurangan tenaga 4,8 juta: krisis keruntuhan industri keamanan

Ada yang menggunakan Claude Opus 4.8 untuk menemukan sebuah bug, yang menyebabkan kapitalisasi pasar sebuah mata uang kripto menguap sebesar 4,5 miliar dolar. Peristiwa ini berawal dari sebuah audit keamanan. Zcash adalah jaringan privasi lama, menggunakan bukti tanpa pengetahuan untuk melindungi informasi transaksi, dan Orchard adalah pusat utama kemampuan transaksi privasinya.

Pada 29 Mei, peneliti keamanan Taylor Hornby menemukan celah serius di Orchard saat melakukan audit protokol atas permintaan Shielded Labs, yang memungkinkan penyerang menciptakan token yang seharusnya tidak ada, yaitu "penambahan tak terbatas".

Zcash kemudian melakukan upgrade darurat dalam beberapa hari, dan mengonfirmasi keberadaan celah tersebut, tetapi tidak bisa memastikan apakah sudah ada yang memanfaatkannya untuk menambah token. Setelah pengumuman resmi pada 5 Juni, harga Zcash anjlok 50%.

Opus 4.8 dari Anthropic dirilis pada 28 Mei, dan keesokan harinya, celah ini sudah ditemukan.

Peristiwa ini membuat orang terkejut, bukan karena AI yang kuat, tetapi karena kekuatannya kali ini terlalu biasa.

Sebelumnya, kekhawatiran utama di industri keamanan adalah tentang Claude Mythos Preview dari Anthropic. Pada April 2026, Anthropic merilis penilaian kemampuan keamanan siber, menyatakan Mythos Preview mampu mengenali dan memanfaatkan celah zero-day di sistem operasi dan browser utama selama pengujian, beberapa celah sangat tersembunyi, bahkan sudah ada selama lebih dari sepuluh tahun, salah satunya bug di OpenBSD yang bahkan bisa ditelusuri hingga 27 tahun lalu.

Penilaian tersebut juga menyebutkan, bahkan insinyur tanpa latar belakang keamanan pun bisa membiarkan Mythos Preview mencari celah eksekusi kode jarak jauh sepanjang malam, dan keesokan harinya sudah mendapatkan satu set kode serangan lengkap dan siap pakai.

Keruntuhan Zcash: AI temukan celah senilai 4,5 miliar dolar

Ini berarti kemampuan yang dulu hanya dimiliki segelintir orang dalam jangka panjang, kini menjadi layanan yang bisa diakses siapa saja kapan saja. Kemampuan ini sendiri tidak memiliki posisi moral, yang membedakan hanyalah siapa yang menggunakannya dan untuk apa.

Anthropic juga menyadari hal ini. Maka dari itu mereka membuat Project Glasswing, yang awalnya hanya memberikan Mythos Preview kepada tim kecil, untuk digunakan dalam pekerjaan keamanan defensif. Mereka juga mengakui, model selevel ini membutuhkan perlindungan lebih kuat dan batasan penggunaan yang lebih ketat agar bisa dibuka untuk umum.

Dalam kasus Zcash ini, yang digunakan oleh para teknisi bukanlah Mythos yang masih terkunci, melainkan Opus 4.8 yang sudah dirilis, sudah tersedia, dan sudah masuk ke alur kerja orang biasa.

AI yang masuk ke bidang keamanan memberi tim kecil kemampuan audit sebesar tim besar. Ia mempercepat penemuan bug oleh pemelihara, sekaligus mempercepat penafsiran sistem oleh penyerang.

Dan yang paling berbahaya bukanlah model terkuat, melainkan model yang cukup kuat, cukup murah, dan cukup umum.

Semakin umum modelnya, semakin banyak orang yang bisa menggunakannya. Maka masalahnya bukan lagi apakah AI bisa menemukan celah, tetapi: apa yang akan terjadi jika semua orang bisa menemukannya.

Setelah menemukan celah menjadi lebih murah berkat AI, akan muncul dua hal.

Satu adalah laporan keamanan palsu, banyak yang tampak meyakinkan tapi sebenarnya tidak bisa diverifikasi. Yang lain adalah celah nyata, yang dulu tersembunyi di kedalaman sistem dan membutuhkan waktu berminggu-minggu bahkan berbulan-bulan untuk ditemukan, kini mulai bisa dideteksi lebih cepat.

Mythos membeku: Anthropic mengunci model terkuat

Yang pertama akan membanjiri pemelihara, yang kedua akan menembus sistem. Lebih rumit lagi, keduanya bisa muncul bersamaan.

Keamanan jaringan dulu memiliki narasi ideal: white hat menemukan celah, mengungkapkan secara bertanggung jawab, produsen memperbaiki, pengguna diuntungkan.

Dulu, banyak dari proses ini berjalan sesuai narasi tersebut. Tapi ketika AI menurunkan ambang batas "menemukan celah", dan semua orang bisa menggunakan model terbuka untuk mencari bug, yang datang adalah gelombang orang yang ingin mendapatkan bounty atau membangun reputasi. Banyak dari mereka hanya menyalin prompt, lalu meminta model menghasilkan laporan yang tampak meyakinkan. Tapi laporan itu belum tentu benar.

Namun, apapun isinya, pemelihara harus menanggapinya dengan serius.

OpenSSF mengadakan diskusi tentang "Laporan Sampah AI" pada Februari 2026, khusus membahas bagaimana pemelihara open source harus menghadapi laporan celah berkualitas rendah yang dihasilkan AI. curl pernah melaporkan, bahwa hingga pertengahan 2025, hanya sekitar 5% dari bounty yang benar-benar celah, dan sekitar 20% tampak seperti konten AI rendah kualitas. OpenSSF menyatakan, laporan semacam ini mirip serangan DDoS, hanya saja yang diserang adalah perhatian manusia.

Pemelihara open source bukan pusat layanan pelanggan. Banyak dari mereka tidak digaji, tidak punya jadwal, dan tidak punya tim darurat. Tapi sebuah proyek bisa menopang banyak sistem komersial di dunia. Perusahaan yang menghemat biaya besar berkat open source, mungkin tidak memberi bayaran kepada pemelihara. Tapi kalau terjadi masalah, mereka akan balik bertanya: kenapa tidak diperbaiki lebih awal?

Curl kemudian menutup program bounty celah, karena orang tidak mampu lagi bertahan. Laporan keamanan awalnya adalah bagian dari pertahanan, tapi ketika laporan dipenuhi sampah, pertahanan itu malah menjadi beban bagi yang menjaga.

AI memberi lebih banyak orang kemampuan melaporkan celah, tapi tidak memberi kemampuan menilai kebenaran celah tersebut. Bisa meminta model membuat laporan, belum tentu bisa memahami laporan itu; bisa menjalankan kode verifikasi, belum tentu tahu seberapa besar pengaruhnya.

Laporan pembelian besar: AI menghasilkan sampah yang membanjiri pemelihara

Yang lebih berbahaya lagi, kita sebenarnya hidup di dunia di mana AI benar-benar mampu menemukan celah tak terhitung jumlahnya.

Internet memberi ilusi terbesar: bahwa sesuatu yang bisa dijalankan pasti andal.

Mobile payment, scan QR di kereta, pendaftaran di rumah sakit; bahkan foto lama di cloud storage, yang sudah lupa kita simpan, tapi AI tidak lupa. Hal-hal ini bekerja setiap hari, sehingga kita menganggapnya tidak bermasalah. Kepercayaan manusia terhadap teknologi seringkali bukan kepercayaan, melainkan malas untuk meragukan.

Tapi kode seperti bangunan tua yang terus bertambah lantai, di bawahnya ada protokol lama, perpustakaan lama, di atasnya ada kebutuhan dadakan dan "langsung jalan", di puncaknya ada kode warisan yang tak pernah dihapus. Lampu menyala, lift berjalan naik turun, properti bilang semuanya normal. Tapi tidak ada yang tahu, apakah di balik dinding itu ada retakan.

Heartbleed adalah contoh nyata. Sebuah celah di OpenSSL, yang memungkinkan penyerang membaca kunci privat dan password dari memori server, baru ditemukan dan diperbaiki tahun 2014. Sebelumnya, celah ini sudah ada selama lebih dari dua tahun, dan saat itu lebih dari 60% situs aktif di seluruh dunia berjalan di server yang terpengaruh. Dua tahun itu, sebagian besar internet berjalan tanpa perlindungan yang memadai, tanpa orang menyadarinya.

Contoh lain adalah sudo Baron Samedit. Pada 2021, Qualys mengungkapkan bahwa celah ini sudah ada di sudo selama hampir sepuluh tahun, dan sudo adalah salah satu alat izin paling umum di Unix/Linux.

Banyak lagi contoh serupa. Jika dilihat bersama, kita jadi sadar bahwa kita bisa tetap aman berselancar di internet sampai hari ini, sebenarnya sangat beruntung.

Mengapa celah ini tidak ditemukan selama bertahun-tahun?

Keruntuhan celah: Heartbleed tersembunyi selama dua tahun setengah

Jawabannya sederhana: biaya mencari celah terlalu tinggi.

Biaya bukan cuma uang, tapi juga waktu dan kesabaran. Membaca kode, menyiapkan lingkungan, memahami protokol, mereproduksi kondisi batas, menulis kode verifikasi, menilai dampak, dan membedakan false positive. Kadang, menjalankan program semalaman tanpa hasil, satu jalur sudah dicoba habis-habisan, dan ternyata tidak bisa dilalui. Dalam kenyataan, peneliti keamanan dan hacker sering berjuang melawan detail yang remuk dan rumit.

Banyak celah bisa bertahan lama bukan karena mereka sangat misterius, tapi karena orang yang mau dan mampu mencari terus-menerus sangat sedikit.

AI mengubah struktur biaya ini.

Dulu, banyak celah tersembunyi di sudut-sudut, alatnya terbatas. Sekarang, alatnya mulai melimpah.

Tapi, dengan alat yang sama, kita bisa melihat retakan dan juga titik lemah yang bisa diserang. Saat "menemukan" menjadi murah, "menyerang" juga jadi murah. Satu orang hari ini bisa pakai AI buat kirim laporan bug berkualitas rendah ke proyek open source, besok bisa pakai metode yang sama untuk scan sistem perusahaan; hari ini fokus pada bounty, besok mungkin fokus pada dana di blockchain.

Sebelum benar-benar terjadi, kita tidak sadar bahwa "keamanan internet" itu ada.

Kamu buka Alipay, scan QR, bayar, dana masuk, semua proses itu mungkin kurang dari tiga detik. Kamu tidak terpikirkan berapa banyak aturan risiko, sidik jari perangkat, pengenalan perilaku, lawan kejahatan siber, respons insiden, dan rencana darurat yang berjalan di belakang layar.

Pada Mei 2026, AntSRC mengadakan kegiatan "Hunting Action" untuk memberi penghargaan celah, mencakup layanan Alipay, Huabei, Jiebei, Ant Fortune, e-commerce, digital science, dan Ant International. Untuk celah berisiko tinggi dan serius di transaksi pembayaran, dana hingga lima kali lipat dari hadiah biasa, bisa sampai 71.500 yuan.

Penurunan biaya serangan: biaya serangan menurun seiring waktu

Perusahaan besar juga paham, mereka tidak bisa mengandalkan tim internal saja untuk menemukan semua masalah. Maka dari itu, mereka memasukkan organisasi white hat ke dalam proses resmi. Keamanan menjadi rantai kolaborasi panjang: ada yang menemukan serangan, ada yang verifikasi, klasifikasi, perbaikan, rilis, dan ada yang mengawasi agar tidak menyakiti pengguna normal. Jika satu bagian putus, seluruh rantai bisa terganggu.

Laporan keamanan dari Alibaba Cloud pada Oktober 2025 menyebutkan, platform cloud mereka setiap hari menahan 6,245 miliar serangan, memblokir 27.500 IP jahat; bulan itu, mereka mendeteksi dan menahan 102.800 serangan DDoS, dengan puncak 2100 Gbps.

Kegiatan "browsing normal" yang kita lakukan sebenarnya adalah jalur sempit yang diambil oleh insinyur keamanan dari lautan anomali. Internet tidak pernah benar-benar tenang.

Pemelihara open source tidak punya anggaran, jadwal, tim darurat; perusahaan besar bisa membeli semua itu. Tapi, bahkan perusahaan besar pun hanya bisa mengandalkan rantai kolaborasi manusia yang panjang, menekan anomali sampai pengguna biasa tidak menyadarinya.

Rantai kolaborasi yang panjang dan rapuh ini sudah penuh beban sebelum AI masuk secara masif. Sekarang, jika celah dan laporan berlipat ganda, akankah orang yang bertanggung jawab cukup?

Laporan keamanan dari ISC2 tahun 2024 memperkirakan, ada sekitar 5,5 juta profesional keamanan siber aktif di seluruh dunia, dan kekurangan tenaga mencapai 4,8 juta, meningkat 19% dari tahun sebelumnya. Mereka menekankan, "kekurangan" ini bukan sekadar posisi kosong di situs lowongan, tapi jarak antara orang yang dibutuhkan organisasi untuk perlindungan optimal dan orang yang tersedia secara nyata.

Angka ini sangat sederhana: banyak celah, orangnya kurang.

Bukan cuma jumlah orangnya, tapi juga orang yang mampu mengerjakan pekerjaan kompleks. ISC2 juga menyebutkan, 67% responden mengatakan organisasi mereka kekurangan tenaga keamanan siber, 58% merasa kekurangan ini menimbulkan risiko besar, 31% mengatakan tidak ada staf pemula, dan 15% tidak punya staf dengan pengalaman 1-3 tahun. Banyak organisasi tidak hanya kekurangan orang, tapi juga jalur pengembangan generasi berikutnya.

Kekurangan tenaga 4,8 juta: krisis keruntuhan industri keamanan

Ini lebih rumit dari sekadar kekurangan orang. Tidak mendapatkan orang adalah masalah hari ini; tidak punya staf pemula adalah masalah masa depan.

Laporan pengembangan industri keamanan siber di era AI di Tiongkok juga menyajikan data: tahun 2025, dari para profesional yang disurvei, 46,2% memiliki gaji tahunan antara 200.000 sampai 300.000 yuan. Pasar bersedia membayar untuk tenaga menengah, karena orang yang mampu menangani ancaman kompleks dan membuat penilaian saat insiden sangat langka. Laporan juga menunjukkan, 56,5% dari mereka mengatakan AI membantu mereka fokus pada analisis ancaman kompleks, dan 33,0% beralih dari eksekusi ke strategi.

Ini sangat penting.

Saat ini, yang paling kita butuhkan adalah orang yang mampu membaca celah di tengah malam, menilai dampaknya, mengkoordinasikan seluruh rantai, dan menulis patch. Keamanan bukan pekerjaan yang mengandalkan inspirasi sesaat, tapi pekerjaan kotor dan melelahkan. Jika kita pecah istilah "keamanan jaringan", isinya hanya false positive, kambing hitam, patch tak berujung, rapat tak berkesudahan, dan panggilan telepon jam tiga pagi.

Camus pernah menulis novel berjudul "The Plague" (Wabah).

Cerita berlatar di sebuah kota kecil di Afrika Utara. Wabah tiba-tiba meletus, gerbang kota ditutup, semua orang terjebak di dalam. Kehidupan sehari-hari hancur dalam semalam. Awalnya panik, lalu mati rasa, lalu terbiasa. Sampai akhirnya wabah mereda, gerbang dibuka kembali, dan jalanan kembali riang.

Camus di akhir novel berkata: "Menurut catatan medis, bakteri wabah tidak pernah benar-benar mati, dan tidak akan hilang. Mereka bisa bertahan di perabot, pakaian, selimut selama puluhan tahun; menunggu di kamar, ruang bawah tanah, koper, sapu tangan, dan kertas bekas. Mungkin suatu hari, wabah akan kembali membangkitkan pasukannya, menguburkan kota bahagia, dan manusia akan kembali menderita, belajar dari pengalaman."

Saya merasa, kalimat ini cocok untuk menggambarkan celah di dunia maya.

Celah itu bukan muncul hari saat ditemukan. Ia sudah lama ada di kode, tidak terdengar suaranya, dan kita salah mengira keheningan sebagai keamanan.

Kita sudah terbiasa dengan rutinitas tanpa keraguan, semuanya berjalan di atas kode. Ada utang lama yang belum dilunasi, karena yang menagih sedikit. Setelah AI datang, utang itu tiba-tiba bertambah.

Yang menakutkan bukan cuma hacker yang bertambah banyak. Di sisi lain sistem, orang yang menangani masalah tidak bertambah seimbang.

Inilah perjuangan utama di era keamanan AI. Kemampuan menyebar sendiri, tanggung jawab tidak; menemukan celah makin murah, memperbaikinya tetap mahal. Kerusakan bisa diduplikasi berkali-kali lewat skrip, kepercayaan hanya bisa dipulihkan secara perlahan oleh satu sistem dan satu tim.

AI tidak akan menghancurkan internet dalam semalam. Ia lebih seperti menyalakan lampu. Kita akhirnya sadar, kehidupan digital bukanlah tatanan otomatis alami, melainkan hasil kerja keras orang yang menekan risiko ke tingkat yang tidak kita sadari.

Ke depan, yang benar-benar mahal bukanlah menemukan celah, tapi apakah masih ada cukup orang yang bersedia memperbaiki celah satu per satu.